Десятки тысяч топливных резервуаров на объектах критической инфраструктуры остаются уязвимыми для атак нулевого дня из-за неисправных систем автоматического измерения уровня топлива от нескольких поставщиков, говорят исследователи информационной безопасности.
Автоматические датчики уровня топлива (ATG) используются для контроля уровня топлива в резервуарах и обеспечения отсутствия утечек в резервуарах. Десять раскрытых сегодня CVE были обнаружены в продуктах от нескольких разных поставщиков: Dover Fueling Solutions (DFS), OPW Fuel Management Systems (принадлежит DFS), Franklin Fueling Systems и OMNTEC.
Семь из них оценены как критические, и все они позволяют получить полные права администратора приложения устройства, согласно Bitsight, которая обнаружила недостатки и сообщила о них Агентству по кибербезопасности и безопасности инфраструктуры США (CISA) шесть месяцев назад. Три из глючных продуктов до сих пор не имеют исправления.
«Это эксплойт, который что-то перемещает, поэтому вы оказываете влияние на физический мир», — сказал Педро Умбелино, главный научный сотрудник Bitsight, The Register. В частности, уязвимые ATG могут быть использованы не по назначению, чтобы нанести реальный, физический и экологический ущерб, и Bitsight видела, как эти уязвимые продукты использовались на заправочных станциях, в аэропортах, государственных системах, на производстве и в коммунальных компаниях, добавил он.
Несмотря на то, что CISA и Bitsight потратили последние шесть месяцев на попытки работать с поставщиками, чтобы закрыть дыры в безопасности, Умбелино оценивает, что количество уязвимых устройств по-прежнему составляет 1200–1500.
«Все они позволяют одно и то же: доступ, так что вы можете фактически управлять устройством, как если бы вы были владельцем устройства, вы можете контролировать все», — сказал он. «Когда вы пытаетесь эксплуатировать устройство, это святой Грааль».
Этот физический ущерб может включать изменение критических параметров, таких как емкость, что приведет к переполнению резервуаров. Также существует риск того, что удаленный злоумышленник изменит настройки резервуара или отключит сигнализацию, что также увеличит вероятность опасного разлива, в зависимости от типа хранящегося топлива.
Все ошибки могут быть использованы удаленно и считаются имеющими «низкую сложность атаки», согласно CISA, которая сегодня опубликовала свои собственные раскрытия об уязвимостях.
К ним относятся CVE-2024-45066 и CVE-2024-43693, обе ошибки внедрения команд ОС в ProGauge Maglink LX и консолях DFS. Эти две уязвимости получили идеальный рейтинг серьезности 10 — и на то есть веская причина. Удаленный злоумышленник может отправить специально созданный POST-запрос в подменю консоли, чтобы внедрить вредоносные команды, и тогда игра окончена.
Исследователи также обнаружили уязвимость жестко закодированных учетных данных с рейтингом 9,8, отслеживаемую как CVE-2024-43423, в устройстве DFS Maglink LX4. В частности, веб-приложение для консоли содержит учетную запись пользователя административного уровня с неизменяемым паролем.
Maglink LX4 также уязвим к CVE-2024-45373, уязвимости повышения привилегий, которая позволяет действительному пользователю изменить свои привилегии на администратора. Он получил рейтинг CVSS 8,8.
Завершая остальные ошибки DFS, CVE-2024-43692 — это ошибка обхода аутентификации в Maglink LX с рейтингом 9,8, в то время как CVE-2024-41725, уязвимость межсайтового скриптинга в том же продукте, получила оценку CVSS 8,8.
Перейдем к устройству Franklin Fueling Systems TS-550, уязвимость произвольного чтения файлов (CVE-2024-8497) с рейтингом CVSS 7,5 может быть использована для получения административного доступа к уязвимому устройству.
Хорошая новость заключается в том, что все глючные продукты Maglink и тот, что произведен Franklin, имеют исправления. Производители настоятельно рекомендуют пользователям, которые еще этого не сделали, обновиться до последней версии уязвимых продуктов.
Кроме того, CISA и Bitsight предлагают размещать эти критически важные системы за брандмауэрами и изолировать их от бизнес-сетей. Убедитесь, что они — и все промышленные устройства системы управления — не доступны из общедоступного Интернета. И если вам нужно разрешить удаленный доступ, используйте безопасный VPN.
Хотя для этих семи CVE есть выпущенные производителем обновления для смягчения уязвимости, для остальных трех исправлений нет.
Это включает в себя ошибку в системе управления топливом SiteSentinel OPW, которая имеет оценку 9.8, отслеживаемую как CVE-2024-8310. Эта уязвимость может позволить злоумышленнику обойти аутентификацию на сервере и получить полные права администратора.
Материнская компания OPW Fuel Management Systems — DFS. Эта ошибка затронула версии SiteSentinel до 17Q.2.1, которые истекают. Таким образом, DFS не будет выпускать никаких исправлений для старых продуктов.
Производитель рекомендует пользователям устанавливать устройство за брандмауэром и обновлять его как минимум до версии 17Q.2.1. Пользователи более новых версий также должны связаться с DFS, чтобы подтвердить, что они используют сборку с необходимыми исправлениями.
Тем временем, OMNTEC и Alisonic Sibylla, два оставшихся производителя ATG из этой группы, не отреагировали на попытки CISA скоординировать меры по смягчению последствий, как нам сообщили.
Устройство мониторинга резервуаров Proteus OEL8000 от OMNTEC остается уязвимым для ошибки обхода аутентификации с рейтингом 9,8, отслеживаемой как CVE-2024-6981, без исправления.
Устройства Alisonic Sibylla уязвимы для атак с внедрением SQL, которые могут открыть полный доступ к базе данных. Эта уязвимость (CVE-2024-8630) получила рейтинг 9,4 по шкале CVSS и также не имеет исправления.
«Проблема с этими устройствами и промышленными системами управления в целом заключается в том, что их действительно трудно исправить», — сказал Умбелино, добавив, что для этого обычно требуется, чтобы кто-то лично посетил объект, где находится устройство, и затем вручную применил исправление.
А что касается устройства, у которого до сих пор нет никаких мер по смягчению? «Уберите его из Интернета», — сказал он. «Оно не должно быть напрямую раскрыто». ®