Исследователь обнаружил DoS-уязвимость двери с электроприводом санузла в поезде Intercity Express

Ландау показал в небольшом видео, что в этом случае кабину санузла можно открыть и покинуть помещение, а потом дверь закроется и заблокируется электроникой изнутри. После этих действий снаружи с помощью штатных кнопок нельзя будет открыть дверь, так как она открывается лишь в случае получения команды от контроллера, что система внутри имеет статус «заблокировать» и «разблокировать».

Ландау выяснил, что согласно логике работы контроллера замка двери, электроника действует правильно, а вот реализация от Hitachi способа блокировки и переключений на рычаге управления внутри санузла оставляет желать лучшего. Сам рычаг может уходить за границы обозначенных статусов, а смена разных режимов электромагнитных замков блокируется только крошечным металлическим штифтом, который выдвигается в том случае, чтобы нельзя было при открытой двери переключиться из режима «разблокировано» в положение «заперто».

Проблема оказалась в том в том, что рычаг для переключения режимов имеет некоторый люфт в тот момент, когда микроконтроллер обнаруживает, что рычаг находится в «заблокированном» положении. Таким образом, можно закрыть дверь, а затем удерживать рычаг сразу за той точкой, в которой стопорный штифт может сцепиться с ней, но не до той точки, где будет написано «заперто». Тогда можно открыть дверь, но стопорный штифт выдвинется без блокировки ручки, которая может быть переведена в заблокированное положение. В этом случае кнопка закрытия двери остаётся активной, можно выйти и заблокировать дверь за собой.

Примечательно, что после большого количества манипуляций с ручкой двери внутри санузла и кнопками открыть и закрыть двери Ландау смог перевести контроллер замка двери в нерабочий режим, при котором кнопки дверей не работают. Через некоторое время контроллер перезапустился по таймеру или через внешнюю команду и дверь снова стала работать как и ранее.

Технически инженеры Hitachi могли заложить в логику работы контроллера возможность в случае заблокированной изнутри двери провести удалённый сброс контроллера замка, чтобы открыть дверь в пустой санузел. Ландау не проверил этот вариант, так как он действовал один и без разрешения проводника и не уведомлял сотрудников поезда, что проводит тесты с замком двери санузла в рабочем вагоне. Также исследователь не сообщил администрации поезда, что фактически на время вывел из строя один из туалетов для инвалидов.

«В данном конкретном случае, когда я тестировал эту уязвимость, я, похоже, настолько запутал контроллер двери туалета, что он решил "к черту это" и вошёл в режим техобслуживания. Туалет снова работал, когда я вышел из поезда. Я понятия не имею, сбрасывается ли он автоматически через какое-то время или кто-то в поезде сбросил его», — рассказал Ландау.