Este tipo de falhas deixa milhares de prédios abertos ao comprometimento por parte de atacantes.

Se exploradas com sucesso, estas falhas podem permitir que o atacante consiga o controlo dos produtos e aceder a outros dispositivos ligados ao sistema.

De entre as marcas que foram analisadas, incluem-se: Computrols CBAS-Web, Optergy Proton/Enterprise, Prima FlexAir, e dois produtos Nortek Linear eMerge.

As falhas vão desde credenciais no código à possibilidade de injeção de comandos, XSS (Cross-site Scripting), path traversal, upload arbitrário de ficheiros, elevação de privilégios, ultrapassagem dos mecanismos de segurança, armazenamento de palavras-passe em claro, CSRF (Cross-site Request Forgery), execução de código arbitrária, informação sensível, enumeração de utilizadores e backdoors.

Algumas destas falhas, mais críticas, podem ser exploradas por um atacante não autenticado. Esta situação deixa aproximadamente 10 milhões de pessoas afetadas.

Um dos principais problemas é que uma vez ganho o acesso a estes sistemas, as pessoas podem ficar trancadas em casa, no elevador, os atacantes podem também manipular as luzes do edifício, causar um apagão, entre outras situações.

Todos os vendors, exceto a Nortek, já lançaram patches para corrigir os problemas citados.

Fonte: https://www.securityweek.com/over-100-flaws-expose-buildings-hacker-attacks