关键基础设施中使用的自动油箱计量器存在严重漏洞

安全研究人员表示，由于多个供应商的自动油箱计量系统存在缺陷，关键基础设施中数以万计的燃料储罐容易受到0Day漏洞攻击。

自动油箱计量器 (ATG) 用于监测储油罐中的燃油液位，确保油箱不会泄漏。

今天披露的十个 CVE存在于多家不同供应商的产品中：Dover Fueling Solutions (DFS)、OPW Fuel Management Systems（归 DFS 所有）、Franklin Fueling Systems 和 OMNTEC。

Bitsight 发现这些漏洞，并于六个月前向美国网络安全和基础设施安全局 (CISA) 报告，其中七种漏洞被评为严重，所有漏洞都允许设备应用程序拥有完全管理员权限。其中三种漏洞产品至今仍未得到修复。

Bitsight 首席研究员 Pedro Umbelino表示：“漏洞会对物理世界产生影响。”他补充说，具体来说，易受攻击的 ATG 可能会被滥用，造成现实世界、物理和环境损害，Bitsight 已经看到这些易受攻击的产品在加油站、机场、政府系统、制造商和公用事业公司中使用。

尽管 CISA 和 Bitsight 在过去六个月中一直试图与供应商合作修补安全漏洞，但 Umbelino 估计易受攻击的设备数量仍然在 1,200-1,500 台左右。

“它们都允许同一件事：访问，就可以真正控制设备，就好像你是设备的所有者一样，你可以控制一切。”他说。“当你试图利用一台设备时，这就是圣杯。”

这种物理损害可能包括改变容量等关键参数，导致油箱溢流。此外，远程攻击者还可能改变油箱设置或禁用警报，这也会增加危险泄漏的可能性，具体取决于储存的燃料类型。

CISA 今天发布了关于这些漏洞的披露文件，其表示，所有这些漏洞都可以被远程利用，而且被认为具有“低攻击复杂性”。

其中包括CVE-2024-45066和CVE-2024-43693，这两个漏洞都是 DFS 的 ProGauge Maglink LX 和控制台中的操作系统命令注入漏洞。

这两个漏洞的严重性评级高达 10 分，这是有原因的。远程攻击者可以向控制台子菜单发送特制的 POST 请求来注入恶意命令，然后一切就结束了。

研究人员还在 DFS 的 Maglink LX4 设备中发现了一个评级为 9.8 的硬编码凭证漏洞，编号为CVE-2024-43423。具体来说，控制台的 Web 应用程序包含一个具有不可更改密码的管理员用户帐户。

Maglink LX4 还存在CVE-2024-45373漏洞，这是一个权限提升漏洞，允许有效用户将其权限更改为管理员。它的 CVSS 评分为 8.8。

在 DFS 的其他漏洞中，CVE-2024-43692是 Maglink LX 中的一个 9.8 级身份验证绕过漏洞，而CVE-2024-41725是同一产品中的一个跨站点脚本漏洞，其 CVSS 评分为 8.8。

转到富兰克林燃料系统 TS-550 设备，任意文件读取漏洞 ( CVE-2024-8497 )（CVSS 评级为 7.5）可被利用来获取受影响设备的管理访问权限。

好消息是，所有存在问题的 Maglink 产品和 Franklin 制造的产品都已修复。制造商敦促尚未升级到最新版本的用户升级受影响产品。

此外，CISA 和 Bitsight 建议将这些关键系统置于防火墙后面，并将其与企业网络隔离。确保这些系统以及所有工业控制系统设备都无法从公共互联网访问。如果您必须允许远程访问，请使用安全的 VPN。

虽然这七个 CVE 确实有制造商发布的更新来缓解该漏洞，但其余三个尚未修复。

“工业控制系统面临的挑战是，它们真的很难修补。”Umbelino 说，通常需要有人亲自访问设备所在的设施，然后手动进行修复。

那么对于仍然没有任何缓解措施的设备呢？“将其从互联网上移除。”他说。“工业设备不应该直接暴露在互联网上。”

链接：

https://www.theregister.com/2024/09/24/security_bugs_fuel_storage_tanks/

讲述普通人能听懂的安全故事