数千个暴露在互联网上的燃油表或者遭到黑客攻打并被风险地利用
虽然曾经收回了十年的正告,监控油罐的设备依然存在关键破绽和蹩脚的代码品质,这或者使攻打者能够禁用系统、窃取燃料甚至造成风险走漏。
依据安保公司BitSight Technologies的钻研,数千个智能油罐测量(ATG)系统被用于加油站、电厂、机场、军事基地以及其余关键基础设备中,这些系统暴露于互联网,经常使用不安保的遗留协定和软弱的治理接口。
ATG系统用于监测油罐内的燃料水平、压力和温度,并设计用于检测潜在走漏并触发应答措施。攻打者或者应用这些弱点扭转油罐性能并禁用警报,造成油罐溢出和风险的燃料走漏。
ATG系统的软弱性早在2年之前就已被发现,过后Trend Micro启动了一项考查,设置了GasPots试验,经常使用蜜罐系统诱惑攻打者,以钻研他们的方法并评价弱点。
在最近的钻研中,BitSight的钻研人员发现了来自五个不同制作商的六个ATG型号中存在11个关键和高严重性破绽,重点剖析了那些最常暴露于互联网的型号。
这些缺点包括操作系统命令注入、硬编码凭证、认证绕过、跨站脚本、SQL注入、恣意文件读取和权限更新。美国网络安保和基础设备安保局(CISA)在周二针对这些破绽发布了正告。
大少数缺点或者准许攻打者取得治理接口或底层操作系统的治理员权限,使他们能够临时禁用系统或对其中心设备(如阀门、泵、通风系统和警报器)形成物理侵害。
基本的安保缺点应早已失掉处置
此外,钻研人员指出,不足规范的安保编码通常和设计上的缓解措施本可以防止这些系统中出现整类破绽。
“最令人担心的并不是新破绽的数量,甚至或者不是它们的严重性,而是它们反映了早该处置的基本安保缺点。”钻研人员在报告中示意。
“咱们发现了基本的反射型XSS,认证绕过是间接门路访问,命令注入不足过滤,存在硬编码的治理员凭证,恣意文件读取是间接门路遍历访问,失掉了治理员凭证,SQL注入可以经过完整的SQL失误日志被应用。”
ATG系统常年以来存在安保疑问
过去十年,多组钻研人员正告互联网衔接的ATG系统不安保,关键是由于它们经常使用了一种称为Veeder-Root TLS-450的遗留协定,该协定最后设计用于串行接口,不足现代安保包全。
ATG系统还可以衔接到TCP/IP网络,并会在TCP端口10001上监听命令,这些命令随后会被转发到串行接口。
由于资产领有者将其ATG系统暴露于互联网以启动远程治理和监控,他们有意中将这一不安保的协定暴露于攻打之下。虽然该协定支持“安保代码”选项,但这一代码是可选的,并且仅为六位数字,安保性较弱。
“自动状况下,它是未经常使用的,或者是由于某些型号须要手动拨码开关性能能力启用这一性能,”BitSight的钻研人员示意,“安保代码被形容为六位数字。假设思考到旧型号有数字键盘,这就很有意义,这大概有100万种组合,现今很容易被猜想,一个每秒尝试100个组合的攻打者,只有不到三个小时就能遍历整个代码空间。”
该协定可用于更改网络性能和警报目的地,修正或者产动物理影响的油罐、泵和继电器参数,并可用于启动和中止油罐和压力管道的走漏检测测试。
破绽或者造成物理损坏
“简而言之,这些操作或者造成供应商所正告的劫难性结果,”钻研人员示意,“因此,断开任何ATG与互联网的衔接至关关键,但是,仅在过去一个月内,咱们发现有6542个设备(不包括GasPots)间接衔接到互联网且齐全没有安保代码。”
在九月初,一组乌克兰黑客针对俄罗斯基础设备的团队报告称,完成入侵了多个路由器和工业控制系统,该团队在X上发布的截图之一来自一个ATG系统。
除了不安保的命令协定外,BitSight发现的11个破绽或者造成ATG系统及其中心设备的终身缺点。例如,这些设备经过继电器控制通风系统、紧急切断阀、警报和泵,这些继电器可以开启或封锁,并承载不同电压。
与大少数电气设备一样,继电器有其电气经常使用寿命。钻研人员检查了某些考查型号的数据表,发现这些继电器在最低上班电流下保障上班100万次,这象征着在到达这一限度后,继电器很或者会出现缺点。
钻研人员启动了一系列测试,经常使用设备上的命令行工具以每秒约50次的频率开启和封锁继电器,负载为2A、30V直流电。在前四小时后,继电器开局出现疑问,并在6.2小时或1123520次操作后烧毁。
除了经常使用本地命令行界面,这种攻打还可以经过ATG协定在互联网上口头,经常使用性能代码809来设置继电器方向,这一设置继电器方向的操作会造成继电器开启和封锁。
中心设备或者比系统自身更早损坏
钻研人员还正告说,衔接到这些继电器的中心设备或者会比继电器自身更早出现缺点,由于它们并非设计用来接受许多开关循环作为反常操作的一局部。即使攻打者不可损坏继电器,他们也或者会禁用紧急切断阀等设备。
“咱们与专家交谈时,他们对攻打者能够远程更改油罐设置示意了特意的担心,”钻研人员示意,“警报关于加油操作人员十分关键,协助他们了解油罐何时行将满,以便有足够期间中止加油。没有警报,溢出的或者性会清楚参与,这依据燃料类型,或者会形成风险状况。”
其余攻打或者触及从新性能系统、删除数值或将设备从新闪存为有缺点的固件,这将造成ATG系统出现停机。攻打者还或者失掉关于燃料消耗形式的信息,这或者协助他们为其余破坏性攻打做预备,或使油罐在监控中齐全隐没,从而物理性地盗取燃料。
“在受这些新破绽影响的组织中,咱们惊讶地发现了机场、政府系统、制作业和专用事业公司等例子,”钻研人员示意,“有一点是明白的,关于ATG系统全体及这些新破绽特意是:美国是遭到影响最严重的国度。”
组织应立刻识别其部署的ATG系统或由第三方业务同伴操作的系统,并对其启动安保评价,这些系统不应间接衔接到互联网,并应在其前面设置防火墙,以防止未经授权的访问。
BitSight发现的新破绽影响的ATG型号包括Maglink LX、Maglink LX4、OPW SiteSentinel、Proteus OEL8000、Alisonic Sibylla和Franklin TS-550,但是,其余型号也或者暴露其ATG协定,并或者衔接到互联网。