研究人员警告说,自动油箱测厚仪 (ATG) 系统中的多个关键安全漏洞(其中一些未打补丁)可能会对关键基础设施造成中断和物理损坏。
ATG 是监控和管理燃料储罐的传感器系统,以确保加注液位不会太低或太高,实时检测到泄漏,并管理库存。ATG 可以在您期望的地方找到,例如加油站和机场,但也可以在不太明显的设施中找到。
“例如,在美国,我们被告知,法律要求您在一定尺寸的任何油箱中安装 ATG 系统,”Bitsight TRACE 部门的首席研究科学家 Pedro Umbelino 向 Dark Reading 解释说。“加油站是最大和最明显的用例,但 ATG 的第二大用例是需要大型备用发电机的关键设施——您经常在医院、军事设施和机场等设施中看到这些。”
令人担忧的是,大多数新发现的漏洞都允许攻击者以管理员身份完全控制 ATG。根据 Umbelino 的说法,来自 5 个不同供应商的 6 个 ATG 系统的 11 个漏洞因此可以为各种邪恶活动打开大门,从无法提供燃料到造成环境破坏。
“更令人担忧的是,除了过去的多次警告外,目前仍有数千个 ATG 在线并可通过互联网直接访问,这使它们成为网络攻击的主要目标,尤其是在破坏或网络战场景中,”翁贝利诺在 9 月 24 日发布的分析中说。
这些漏洞是在六个月前发现的,Bitsight、美国网络安全和基础设施安全局 (CISA) 以及受影响的供应商协同工作以缓解这些问题。作为这些努力的结果,“Maglink 和 Franklin 已经发布了补丁,”Umbelino 说。“受影响的 OPW 产品已停产 [生命周期结束],供应商不再提供支持,因此他们不会发布补丁。Proteus 和 Alisonic 尚未作为披露过程的一部分与我们或 CISA 接触,因此我们尚不清楚他们是否已经发布或正在制定缓解计划。
不过,修补并不是需要修复的地方。
“即使对于已发布补丁的设备,我的首要任务也是断开这些设备与公共 Internet 的连接,”Umbelino 说。“它们中的大多数从未设计为以今天的方式进行连接,因此它们没有达到互联网连接设备所需的安全级别。它们的使用方式是供应商最初没有打算的,这就是这些漏洞的核心。将它们从公共互联网上移除是唯一真正的解决方案。
ATG 篡改的主要网络风险
ATG 不仅可以自动测量和记录储罐中产品的液位、体积和温度,而且它们通常连接到警报器、紧急截止阀、通风系统和加油机等外围设备。
“这些设备对安全研究人员或恶意行为者具有吸引力的部分原因是它们具有控制物理过程的潜在能力,如果它们以意外的方式被滥用,可能会导致灾难性的后果,”Umbelino 指出。
正如 Umbelino 解释的那样,“我们发现了原版反射型跨站点脚本 (XSS)。身份验证旁路是直接路径访问。命令注入缺少筛选。有硬编码的管理员凭证。任意文件读取是直接路径遍历访问,产生管理员凭证。完整的 SQL 错误日志可以利用 SQL 注入。
漏洞如下:
资料来源:Bitsight TRACE。
例如,攻击者可以利用这些错误来改变水箱能够吸收的液体量,同时还可以篡改溢出警报。结果可能是未检测到的储罐溢流,这可能会导致气体泄漏和环境混乱。
正如 Umbelino 在帖子中解释的那样,“最具破坏性的攻击是使设备以可能对其组件或与之连接的组件造成物理损坏的方式运行。在我们的研究中,我们已经表明,攻击者可以访问设备并以非常快的速度驱动继电器,从而对它们造成永久性损害。
其他不良后果包括通过拒绝服务 (DoS) 使系统无法访问、暴露竞争性运营数据(交货日期、定价、库存情报、警报类型等),或丢失合规性数据,从而导致潜在的监管罚款。例如,在 DoS 场景中,攻击可能“导致停机,通常需要人工干预,”Umbelino 在帖子中解释说。“事实上,这些类型的攻击目前正在进行中,据称至少有一个品牌的设备被利用,我们就在两周前发布了一个漏洞。”
面临日益严峻网络威胁的关键基础设施
关键基础设施威胁形势仍然是安全从业人员面临的一个棘手问题,首先是 ICS 系统和控制它们的运营技术 (OT) 旨在优先考虑可靠性和效率,而不是安全性。
“因此,他们往往缺乏现代保护措施,”Umbelino 指出。“此外……供应商最近开始将它们与新技术集成,以提高效率和远程访问,这显着改变了他们的威胁模型。当然,也缺乏熟悉 ICS 系统的网络安全专家。如果没有人寻找漏洞,就很难找到它们。
威胁行为者已经注意到:Volt Typhoon 等中国 APT 正在寻求在物理基础设施中站稳脚跟,以进行运营间谍活动,并培养破坏性攻击的可能性。勒索软件团伙以 ICS 为目标有自己的理由,正如臭名昭著的 Colonial Pipeline 网络攻击所见。
“虽然与我们发现的漏洞无关,但有一个组织一直声称 ICT/OT 在乌克兰-俄罗斯战争中受到了干扰,包括 ATG 系统,”Umbelino 说。“在这条推文中,我们可以看到一个 OPW ATG 系统成为目标,但他们声称也影响了许多其他 ICT/OT 设备,这表明攻击者确实将关键基础设施中的这些元素视为目标。”
CISA 本身已经标记了对供水组织、发电厂、制造业、电信运营商、军事足迹等的威胁增加——这些攻击主要由中国、俄罗斯和伊朗支持的 APT 带头。
到目前为止,防御者已经阻止了山口的灾难性攻击,考虑到利用这些漏洞所需的复杂性和精密度,没有理由预计短期内会出现大规模天然气泄漏,但重要的是要领先于风险。
“这不仅仅是修复漏洞,而是采用从一开始就使它们难以存在的安全实践,”Umbelino 在分析中解释说。“这不仅仅是关于脆弱性本身,还关于它们的暴露。组织需要了解他们不应将这些类型的关键系统暴露在公共 Internet 上。他们需要有效地评估自己的风险敞口,了解当前的风险并开始解决这些问题,无论供应商是否有能力及时更新他们的系统。
他补充说,安全研究人员也可以发挥重要作用,并指出利益相关者应该扩大他们对 ICS 的关注。
“我们应该开始更密切地关注这些类型的系统,它们控制着我们社会中非常重要的部分,如果滥用,可能会对世界产生物理影响,有时是灾难性的,”Umbelino 说。“我们需要系统地发现、分类和降低他们比攻击者更快地公开暴露在互联网上的风险,并能够将这种风险传达给所有受影响的各方。这不是一件容易的事。