Bitsight公司当地9月24日发布专题研究报告,称自动油箱计量(ATG)系统中存在多个严重未修补的安全漏洞,可能对加油站、机场、军事基地等关键基础设施造成破坏和物理损害。ATG系统用于监控和管理燃料储罐,确保液位适当并检测泄漏。研究发现,来自五家供应商的六款ATG系统中的11个漏洞可能允许攻击者完全控制ATG,从而引发从无法加油到环境破坏等一系列问题。数千台ATG目前仍可通过互联网直接访问,使它们成为网络攻击的主要目标。尽管部分供应商已发布补丁,但其他供应商尚未与美国网络安全和基础设施安全局(CISA)合作进行披露。专家建议,即使设备已打补丁,也应将其与公共互联网断开连接,因为它们的设计初衷并非如此连接。此外,由于ICS系统和OT的设计优先考虑可靠性和效率而非安全性,这些系统往往缺乏现代保护措施,增加了网络攻击的风险。CISA已指出,供水组织、发电厂、制造业、电信运营商和军事设施等关键基础设施面临的威胁日益增加,主要由中国、俄罗斯和伊朗支持的APT发起。安全研究人员强调,应更加关注这些控制社会重要部分的系统,并系统地发现、分类和减轻它们在互联网上公开暴露的风险。
什么是ATG?
自动油箱计量系统是指自动测量和记录储罐(如加油站油箱)中产品的液位、容量和温度的系统。它还可以监测泄漏、发出高液位和低液位警报、触发警报器、紧急关闭阀、通风设备、加油机和其他外围设备。通过与内部或外部继电器连接,可以控制物理过程。该技术有助于确保遵守环境法规,并用于优化加油站或其他储存燃料的设施(医院、机场、军事设施)的库存管理。
自动储罐计量系统中常用的控制器品牌和型号有多种。Bitsight的研究重点是网上最常见的一些品牌和型号。这绝不是详尽无遗的,但他们认为这是解决这个问题的良好初步方法。
这些设备对安全研究人员或恶意行为者有吸引力的部分原因是,它们有可能控制物理过程,如果以非预期的方式滥用,可能会导致灾难性的后果。
当ATG系统连接到网络(通过调制解调器或以太网卡)时,TCP/IP端口(默认为10001)正在监听,这实际上反映了套接字上的串行接口行为。因此,通过直接连接到TCP/IP端口并以正确的格式调用所需的函数,攻击者可以像使用RS-232电缆一样简单地使用该系统。所有这些特性使得ATG协议成为攻击者的潜在目标。它看起来和感觉起来都像是一种刚刚被赋予在线能力的传统串行协议。仅凭这一点,它就足以成为攻击者感兴趣的目标。
但是其他ATG系统呢?不一定使用旧“ATG”协议进行通信的ATG。它们提供哪些接口?它们是否也暴露在互联网上?更重要的是,它们是否更安全?
这些都是Bitsight TRACE想要研究的问题,因此研究者利用研究者的ICS实验室来更好地了解这些设备带来的风险。
在一个密集的一周内,研究者在几种不同的设备中发现了多个漏洞。更准确地说,6种不同型号中有11个漏洞,每个漏洞都凸显了改进安全实践的迫切需要。在这11个漏洞中,有一个与现有漏洞重复。
漏洞的影响和可能后果
最令人担忧的不是新漏洞的数量,甚至可能也不是它们的严重性,而是它们反映了早就应该解决的基本安全漏洞。CISA在其关于“绝对不安全软件”的咨询中描述了关注质量和消除错误组可以提高安全性。他们引用了MITRE的Steve Christey的话,他在200 年发表了一篇论文,描述了“不可原谅的漏洞”及其遵循的标准。简而言之,所有这些新漏洞都符合这些标准。
研究人员发现了普通的反射型XSS。身份验证绕过是直接路径访问。命令注入缺乏过滤。存在硬编码的管理员凭据。任意文件读取是直接路径遍历访问,可获取管理员凭据。借助完整的SQL错误日志,可以利用SQL注入。所有这些漏洞都允许设备应用程序的完全管理员权限,其中一些甚至可以完全访问操作系统。
这些漏洞到底可能造成什么影响?从DoS到物理破坏都有可能。
最简单的攻击可能造成重大影响,即通过重新配置系统、删除值或使用错误固件重新刷新设备来实施简单的DoS。这些更改实际上会禁用设备,导致停机,并且通常需要人工干预。事实上,这些类型的攻击目前正在进行中,据称至少有一个品牌的设备被利用,而研究人员在两周前发布了该品牌设备的漏洞。
(与针对俄罗斯基础设施的网络攻击有关的“ Team OneFist 的 Voltage ”声称摧毁了多台设备,包括一个 OPW 油箱计量表)
更复杂的攻击针对的是ATG系统的实际用途——监控和控制油箱及其外围系统。Bitsight的研究表明,攻击者可以轻松更改可能导致燃油泄漏的关键参数,例如油箱的几何形状和容量。还可以禁用警报及其触发的相应操作,包括手动和自动操作(例如由继电器激活的操作)。但也许最具破坏性的攻击是让设备以可能对其组件或与其连接的组件造成物理损坏的方式运行。在
Bitsight
的研究中,研究人员已经表明攻击者可以访问设备并以非常快的速度驱动继电器,从而对它们造成永久性损坏。
研究人员在测试台上测试的型号之一(Maglink LX4)中使用的继电器。谁知道,如果继电器驱动得非常快,负载足够大,继电器就会变成灯泡?(虽然时间很短,但一旦发出魔法烟雾,它就不再是灯泡或功能继电器了)当然,并非所有设备继电器都会受到这种惊人影响,特别是如果它们保持规格允许的电压和电流。然而,它们会很快达到其运行极限,最终将停止工作。
这可以通过多种方式实现,实现不同的速度和结果,包括使用“ATG”协议、在系统访问后在ATG上运行自定义程序,甚至使用离地攻击工具。离地攻击是指攻击者使用目标环境中已经存在的工具或功能的行为。Maglink LX4 案例中,离地攻击工具的一个例子是使用i2c仪表。
上述命令将驱动继电器#1每秒打开和关闭超过50次。
通过阅读继电器(OMRON G6S-2)数据表,研究人员可以知道需要多长时间才能超过组件使用寿命。额定机械使用寿命为100,000,000次操作(最低36,000次操作/小时)。电气使用寿命要低得多,最多为1,000,000次操作,即使用最低工作电流。
以每秒50 操作的速度,大约需6小时才能达到电气使用寿命,此后继电器随时都会发生故障并卡在ON或OFF位置。
出于不同目的的攻击者还可以采取其他更隐秘的行动。例如,可以监控销售情况并了解加油站的销售情况。也可以先删除整个油箱,然后悄无声息地偷走燃油,这是一种日益增长的趋势。或者监控关键基础设施中的燃油水平,以确定进行动能攻击的最佳时间。或者甚至直接使用该设备作为进入内部网络的手段。可能性非常大,影响也非常令人担忧。
研究人员可以在世界各地找到这类设备,尽管有些国家比其他国家集中度更高。此外,有些地区更偏向于某个品牌和供应商。您可以在下面的交互式地图中探索每个国家/地区使用“ATG”的设备数量以及Bitsight迄今为止绘制的新漏洞的地理分布(位置为近似值且匿名)。
在受这些新漏洞影响的组织中,研究者惊讶地发现机场、政府系统、制造业和公用事业公司等都是受影响的组织。
对于ATG系统,尤其是这些新漏洞,有一点是明确的:
美国是迄今为止受影响最严重的国家。
Bitsight正在与 CISA合作,以提高人们的认识,并警告此类系统的所有者,将它们暴露在公共互联网上会带来危险。
研究人员从6月份开始大规模监控这些漏洞,包括发现的重复漏洞。三个月过去了,研究人员不能说暴露程度发生了重大变化,如下图所示。
希望能够为降低这些数字做出贡献,因为研究人员将继续提高人们对这个问题的认识,并与相关组织合作,强调减轻这些漏洞的重要性。Bitsight将继续监测未来局势的发展。
关于所披露漏洞涉及的产品在中国使用的情况,由于时间关系并未进行深入的调查研究,粗略地问询了一下ChatGPT,得到如下大致情况,可供参考。
可见,存在漏洞的产品在中国大陆应该有应用,因此提醒相关单位引起足够重视。
