网络攻击可关闭美国加油站

周四发表的一份报告称，美国用来监控加油站汽油量的设备即自动液位计（ATG）可被网络攻击者远程控制、发布警告、甚至关闭燃料流。BostonBase公司创始人Jack Chadowitz发现了这一安全缺陷并指出，从理论上来讲，这个安全缺陷可影响美国约115,000家加油站。但安全公司Rapid7表示其中仅有一小部分加油站系统（大概5300个）可能遭受此类网络攻击。Rapid 7于1月10日对这些设备进行了扫描。Chadowitz指出，虽然ATG通常被用来监控存油量，但攻击者可访问这些设置。他表示，攻击者可改变校准并让油罐报告显示满或空。如果显示为满，那就没人来加油了。而最坏的情形是，攻击者可让ATG报告漏油，这样可能会导致油泵关闭。

这起关于ATG的安全漏洞是最新的一起安全事故，它困扰着越来越多连接到网络的消费者及工业设备。将物联网技术连接至互联网带来了安全风险，因为许多设备在创建时并未考虑太多安全方面的因素。多数加油站都是私人拥有、利润微薄并且通常都是由那些技术方面不太精通的人在运营，Rapid的首席研究官表示。他们使用的是从百思买购买的现成家庭路由器。将这些路由器连接至互联网，他们将遭遇与普通消费者一样的问题。问题是这些设备在做很重要的事情，它们在调节这些加油站的罐存量。

Chadowitz表示，这些加油站的网络配置会经常变化，这会对监控服务及组件等运营带来问题，如罐存量等。因为这个原因，多数加油站将调制解调器连接至储气罐计量器，而不是一直将计量器连接至互联网。Rapid 7没有扫描检测到这些计量器，但攻击者直接拨号至服务时易于受到攻击。

最常见的液位计类型是由隶属于Veeder-Root公司制造的。虽然它们受6个字符的密码保护，但多数情况并不会受此保护。此外，Chadowitz表示，密码以明文形式通讯，并且可能通过窃听被收集。

Veeder-Root公司表示目前正在评估这些问题，但表示公司非常重视安全问题并已将此通知给消费者。

如同许多其他类型的工控系统一样，这里最核心的问题是，油罐监控设备的通讯协议创建于20年前左右，那时的安全还是事后才讨论的话题。随着越来越多的研究人员关注运营技术、越来越多的行业专家获得安全专业知识，类似的问题还可能再次发生，Rapid 7指出。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。