西門子 Metaverse 是一個(gè)虛擬空間，用于鏡像真實(shí)的機(jī)器、工廠和其他高度復(fù)雜的系統(tǒng)，它暴露的敏感數(shù)據(jù)，包括公司的辦公計(jì)劃和物聯(lián)網(wǎng) (IoT) 設(shè)備西門子。

雖然 Metaverse （即“元宇宙”）不再是流行語，但在 ChatGPT 和類似 AI 工具突然流行的情況下，這些虛擬世界仍然存在，為公司、用戶以及不幸的威脅參與者提供了令人興奮的機(jī)會西門子。

2022財(cái)年全年，全球營收超過719億歐元、在全球擁有 300,000 名員工的德國跨國公司西門子也加入了元宇宙的行列西門子。2022年，與美國跨國科技公司英偉達(dá)合作，共建工業(yè)元宇宙。

最近，Cybernews 研究團(tuán)隊(duì)發(fā)現(xiàn)西門子 Metaverse（一個(gè)旨在為其工廠和辦公室創(chuàng)建數(shù)字“雙胞胎”的平臺）正在泄露敏感信息西門子。

如果攻擊者獲得了暴露的數(shù)據(jù)，可能會對該公司和其他使用其服務(wù)的大公司造成毀滅性后果，包括勒索軟件攻擊西門子。

另一方面，西門子表示，“該問題并不嚴(yán)重，并且已得到緩解西門子。”

Metaverse 泄漏：西門子我們發(fā)現(xiàn)了什么

021yin.com 域中的環(huán)境文件西門子。它包含 ComfyApp 憑據(jù)和端點(diǎn)，還發(fā)現(xiàn)西門子在受影響系統(tǒng)的不同端點(diǎn)上泄露了四組 WordPress 用戶以及三組后端和身份驗(yàn)證端點(diǎn) URL。

WordPress 只設(shè)置了暴露的用戶名和頭像圖片，但所有四個(gè)基于西門子 WordPress 的子域都容易受到 WordPress 本身在 2017 年修復(fù)的缺陷的影響，這讓研究人員懷疑這些網(wǎng)站上是否存在更嚴(yán)重的漏洞 西門子。

后端和身份驗(yàn)證端點(diǎn) URL，用于在授予用戶訪問權(quán)限之前驗(yàn)證用戶，可能導(dǎo)致攻擊者測試它們的漏洞并加以利用西門子。

最令人擔(dān)憂的發(fā)現(xiàn)是暴露的辦公管理平臺 ComfyApp 用戶憑據(jù)西門子。西門子擁有的應(yīng)用程序有助于工作區(qū)管理，這意味著它需要敏感數(shù)據(jù)，包括平面圖、有關(guān)物聯(lián)網(wǎng) (IoT) 設(shè)備的信息、員工日歷和室內(nèi)圖片。

我們無法確定單獨(dú)使用 ComfyApp 憑據(jù)可以訪問上述數(shù)據(jù)中的多少西門子。

Cybernews 的研究人員說：“我們真誠地希望威脅行為者在西門子設(shè)法修復(fù)之前沒有發(fā)現(xiàn)泄漏西門子。鑒于西門子制造并維護(hù)著關(guān)鍵基礎(chǔ)設(shè)施所使用的大量技術(shù)和機(jī)器，一旦獲得訪問權(quán)限，他們就可以竊取大量敏感數(shù)據(jù)。”

Cybernews 團(tuán)隊(duì)補(bǔ)充說：“西門子的客戶包括數(shù)十億美元的公司，處理極其敏感的數(shù)據(jù)，攻擊者肯定會發(fā)現(xiàn)它非常有價(jià)值西門子。”

極具吸引力的目標(biāo)

那么西門子，如果有人登錄并偷看您的辦公室計(jì)劃和圖片，甚至是您的日歷怎么辦？員工很清楚他們不應(yīng)該讓陌生人進(jìn)入他們的辦公室，那么為什么數(shù)字工作場所的規(guī)則會有所不同呢？

Cybernews 研究人員說：“在窺探數(shù)字辦公室之后，攻擊者可以簡單地出現(xiàn)在實(shí)體辦公室，就好像他們在那里工作了多年，了解所有空間并熟悉智能空調(diào)等辦公設(shè)備西門子。這只會讓攻擊者更容易闖入。”

而且他們不會只是為了偷筆而闖入西門子。更有可能的是，他們會插入受感染的 USB 驅(qū)動器，最終甚至可能導(dǎo)致勒索軟件。

由于 Metaverse 的構(gòu)建方式使其應(yīng)具有最新的工廠數(shù)據(jù)，因此攻擊者甚至可以提取一些商業(yè)機(jī)密，例如制造技術(shù)西門子。

“這里的威脅行為者有很多機(jī)會西門子。但由于這是元宇宙技術(shù)在可能泄露敏感現(xiàn)實(shí)世界數(shù)據(jù)的情況下使用的首批案例之一，因此目前尚不清楚威脅參與者將采用何種方法來充分利用此類問題。”研究小組說。

精彩推薦

多方建議美國將太空系統(tǒng)列為關(guān)鍵基礎(chǔ)設(shè)施

2023.04.17

損失慘重西門子！韓國加密貨幣交易所GDAC遭遇毀滅性黑客攻擊

2023.04.14

豐田用戶注意西門子，小心被“網(wǎng)路釣魚”

2022 .04.13