Уязвимости в системах буровых установок позволяют перехватить управление

Специалисты из компании Pen Test Partners в ходе изучения коммерческого судоходства и нефтяных платформ обнаружили целый ряд грубых ошибок и уязвимостей в компьютерных системах. Эксплуатация некоторых уязвимостей позволяла получить полный контроль над глубоководной буровой установкой в ​​море, используемой для поиска нефти.

По словам экспертов, они могли «остановить двигатель, запустить систему динамического позиционирования, изменить положение руля, испортить навигацию и просто вывести из строя компьютерные системы».

Команда экспертов обнаружила тайные точки доступа Wi-Fi в зонах без Wi-Fi на кораблях, а также ПК с двойными подключениеми к сети. Некоторые из них были изначально установлены, другие — случайно, остальные — позже подключены членами экипажа.

Исследователи выявили слабые вшитые пароли, записки на ПК с паролями в открытом виде, а также встроенные учетные данные для критически важных элементов, в том числе для бортового спутникового блока, что потенциально позволяет любому пассажиру корабля авторизоваться системе и бесплатно воспользоваться платным интернетом или вовсе отключить его.

«Одним из самых больших сюрпризов оказалось количество установок, использующих дефолтные учетные данные, например, admin/admin или blank/blank, даже в общедоступных системах», — сообщили эксперты.