未修复漏洞可导致水泵控制器遭远程攻击

ProPump and Controls 公司制造的一款水泵系统受多个漏洞影响，可导致黑客引发重大问题。

受影响产品是由该公司制造的 Osprey Pump Controller。该公司位于美国，专注于为大规模应用制造水泵系统和自动化控制，这些应用包括高尔夫球场和草坪灌溉、市政供水和下水道、沼气、农业和工业。

这些漏洞由 Zero Science Lab 公司的创始人兼首席信息安全工程师 Gjoko Krstic 在某客户处评估时发现的，评估过程中涉及真实设备的分析，而不仅仅是像ICS研究那样进行固件镜像分析。

Krstic 尝试将研究成果直接告知并通过CISA和卡耐基梅隆大学的漏洞信息和协调环境中心告知厂商，但该厂商并未进行回应，这些漏洞可能仍然处于未修复状态。

CISA 在3月23日发布公告，说明了 Krstic 在 Osprey Pump Controller 中发现的10个漏洞。Zero Science Lab 还在网站上发布了关于这些漏洞的单独安全公告。

这些漏洞包括远程代码执行漏洞、CSRF、认证绕过、XSS、命令注入、后门访问、文件披露和会话劫持问题。其中很多漏洞可在无需认证的情况下遭利用。Krstic 表示数十个控制器都被暴露在互联网上，包括某个客户的网络遭 Zero Science Lab 访问的情况。攻击者可利用这些漏洞远程入侵系统并完全控制设备，从而可通过DoS 攻击引起服务终端、执行多种恶意活动，具体取决于目标控制器的目的。

Krstic 解释称，“攻击者可访问控制器，并修改压强引发严重后果，控制VFD 或完全切断水供应，具体取决于控制器的适用情况。”

CISA 指出，受影响控制器用于全球多个行业。CISA 建议客户联系厂商获得补丁或缓解措施信息。不过，Zero Science Lab 安全公告指出，CISA 已将该事件设定为“基线-可忽略”登记，意味着它“很有可能不会影响公共健康或安全、国家安全、经济安全、外交关系、公民自由或公众信心”。

黑客攻击水设施的情况并不罕见，美国也不例外。CISA 和其它机构曾在2021年提醒称，勒索软件攻击了位于美国三种水设施的SCADA 系统。几个月后，黑客被指试图投毒美国佛罗里达州的一处供水系统。