关键基础设施中使用的自动油箱计量器存在严重漏洞

admin 2024年9月25日11:33:43评论27 views字数 1660阅读5分32秒阅读模式

导 

安全研究人员表示,由于多个供应商的自动油箱计量系统存在缺陷,关键基础设施中数以万计的燃料储罐容易受到0Day漏洞攻击。

关键基础设施中使用的自动油箱计量器存在严重漏洞

自动油箱计量器 (ATG) 用于监测储油罐中的燃油液位,确保油箱不会泄漏。

今天披露的十个 CVE存在于多家不同供应商的产品中:Dover Fueling Solutions (DFS)、OPW Fuel Management Systems(归 DFS 所有)、Franklin Fueling Systems 和 OMNTEC。

Bitsight 发现这些漏洞,并于六个月前向美国网络安全和基础设施安全局 (CISA) 报告,其中七种漏洞被评为严重,所有漏洞都允许设备应用程序拥有完全管理员权限。其中三种漏洞产品至今仍未得到修复。

Bitsight 首席研究员 Pedro Umbelino表示:“漏洞会对物理世界产生影响。”他补充说,具体来说,易受攻击的 ATG 可能会被滥用,造成现实世界、物理和环境损害,Bitsight 已经看到这些易受攻击的产品在加油站、机场、政府系统、制造商和公用事业公司中使用。

尽管 CISA 和 Bitsight 在过去六个月中一直试图与供应商合作修补安全漏洞,但 Umbelino 估计易受攻击的设备数量仍然在 1,200-1,500 台左右。

“它们都允许同一件事:访问,就可以真正控制设备,就好像你是设备的所有者一样,你可以控制一切。”他说。“当你试图利用一台设备时,这就是圣杯。”

这种物理损害可能包括改变容量等关键参数,导致油箱溢流。此外,远程攻击者还可能改变油箱设置或禁用警报,这也会增加危险泄漏的可能性,具体取决于储存的燃料类型。

CISA 今天发布了关于这些漏洞的披露文件,其表示,所有这些漏洞都可以被远程利用,而且被认为具有“低攻击复杂性”。

其中包括CVE-2024-45066和CVE-2024-43693,这两个漏洞都是 DFS 的 ProGauge Maglink LX 和控制台中的操作系统命令注入漏洞。

这两个漏洞的严重性评级高达 10 分,这是有原因的。远程攻击者可以向控制台子菜单发送特制的 POST 请求来注入恶意命令,然后一切就结束了。

研究人员还在 DFS 的 Maglink LX4 设备中发现了一个评级为 9.8 的硬编码凭证漏洞,编号为CVE-2024-43423。具体来说,控制台的 Web 应用程序包含一个具有不可更改密码的管理员用户帐户。

Maglink LX4 还存在CVE-2024-45373漏洞,这是一个权限提升漏洞,允许有效用户将其权限更改为管理员。它的 CVSS 评分为 8.8。

在 DFS 的其他漏洞中,CVE-2024-43692是 Maglink LX 中的一个 9.8 级身份验证绕过漏洞,而CVE-2024-41725是同一产品中的一个跨站点脚本漏洞,其 CVSS 评分为 8.8。

转到富兰克林燃料系统 TS-550 设备,任意文件读取漏洞 ( CVE-2024-8497 )(CVSS 评级为 7.5)可被利用来获取受影响设备的管理访问权限。

好消息是,所有存在问题的 Maglink 产品和 Franklin 制造的产品都已修复。制造商敦促尚未升级到最新版本的用户升级受影响产品。

此外,CISA 和 Bitsight 建议将这些关键系统置于防火墙后面,并将其与企业网络隔离。确保这些系统以及所有工业控制系统设备都无法从公共互联网访问。如果您必须允许远程访问,请使用安全的 VPN。

虽然这七个 CVE 确实有制造商发布的更新来缓解该漏洞,但其余三个尚未修复。

工业控制系统面临的挑战是,它们真的很难修补。”Umbelino 说,通常需要有人亲自访问设备所在的设施,然后手动进行修复。

那么对于仍然没有任何缓解措施的设备呢?“将其从互联网上移除。”他说。“工业设备不应该直接暴露在互联网上。”

链接:

https://www.theregister.com/2024/09/24/security_bugs_fuel_storage_tanks/

关键基础设施中使用的自动油箱计量器存在严重漏洞

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):关键基础设施中使用的自动油箱计量器存在严重漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日11:33:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关键基础设施中使用的自动油箱计量器存在严重漏洞https://cn-sec.com/archives/3206514.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息