查看原文
其他

网络攻击可关闭美国加油站

代码卫士 2023-01-17

周四发表的一份报告称,美国用来监控加油站汽油量的设备即自动液位计(ATG)可被网络攻击者远程控制、发布警告、甚至关闭燃料流。BostonBase公司创始人Jack Chadowitz发现了这一安全缺陷并指出,从理论上来讲,这个安全缺陷可影响美国约115,000家加油站。但安全公司Rapid7表示其中仅有一小部分加油站系统(大概5300个)可能遭受此类网络攻击。Rapid 7于1月10日对这些设备进行了扫描。Chadowitz指出,虽然ATG通常被用来监控存油量,但攻击者可访问这些设置。他表示,攻击者可改变校准并让油罐报告显示满或空。如果显示为满,那就没人来加油了。而最坏的情形是,攻击者可让ATG报告漏油,这样可能会导致油泵关闭。


这起关于ATG的安全漏洞是最新的一起安全事故,它困扰着越来越多连接到网络的消费者及工业设备。将物联网技术连接至互联网带来了安全风险,因为许多设备在创建时并未考虑太多安全方面的因素。多数加油站都是私人拥有、利润微薄并且通常都是由那些技术方面不太精通的人在运营,Rapid的首席研究官表示。他们使用的是从百思买购买的现成家庭路由器。将这些路由器连接至互联网,他们将遭遇与普通消费者一样的问题。问题是这些设备在做很重要的事情,它们在调节这些加油站的罐存量。


Chadowitz表示,这些加油站的网络配置会经常变化,这会对监控服务及组件等运营带来问题,如罐存量等。因为这个原因,多数加油站将调制解调器连接至储气罐计量器,而不是一直将计量器连接至互联网。Rapid 7没有扫描检测到这些计量器,但攻击者直接拨号至服务时易于受到攻击。


最常见的液位计类型是由隶属于Veeder-Root公司制造的。虽然它们受6个字符的密码保护,但多数情况并不会受此保护。此外,Chadowitz表示,密码以明文形式通讯,并且可能通过窃听被收集。


Veeder-Root公司表示目前正在评估这些问题,但表示公司非常重视安全问题并已将此通知给消费者。


如同许多其他类型的工控系统一样,这里最核心的问题是,油罐监控设备的通讯协议创建于20年前左右,那时的安全还是事后才讨论的话题。随着越来越多的研究人员关注运营技术、越来越多的行业专家获得安全专业知识,类似的问题还可能再次发生,Rapid 7指出。


本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存