加油站所用自动化软件 SiteOmat中存在缺陷 影响全球用户
翻译:360代码卫士团队
周三,卡巴斯基实验室指出,全球范围内的加油站使用的自动化软件中存在多个漏洞,均易受远程攻击。
这款易受攻击的产品是来自 Orpak 公司的 SiteOmat,被供应商称为“加油站的心脏”。SiteOmat 旨在嵌入式 Linux 机器或标准计算机上运行,提供“完整且安全的站点自动化,管理吐钞机、支付终端、前庭设备以及油箱,以完全控制并记录所有交易服务。”
卡巴斯基实验室的研究人员发现,“安全的”部分并非真的安全,使用该产品的1000多个加油站或遭远程访问。超过一半的被暴露的加油站位于美国和印度。
卡巴斯基实验室研究员 Ido Naor 指出,“在研究前,我们真的认为所有的加油系统毫无例外都应该是和互联网隔离的而且可能被正确地监控。但我们想错了。从我们的经验来看,我们意识到,即使攻击者技能水平不高,他们也能通过这款自动化软件从全球的任何一个地方控制某个加油系统。”
研究人员指出,影响 SiteOmat 的漏洞可遭恶意软件利用实现各种目的,包括修改价格、关闭加油系统或引发燃料泄露。
这些安全漏洞可导致黑客在目标企业的网络中横向移动,获取对支付系统的访问权限并窃取金融数据,并且获取加油站消费者的信息(如牌照、驾照)。另外一个可能的攻击场景是,攻击者破坏加油站的运营并要求支付勒索金。
由于该自动化软件中存在一系列缺陷,包括硬编码凭证 (CVE-2017-14728)、持续性 XSS (CVE-2017-14850)、SQL 注入 (CVE-2017-14851)、不安全的通信 (CVE-2017-14852)、代码注入 (CVE-2017-14853) 和远程代码执行 (CVE-2017-14854),因此上述攻击都是很有可能发生的。利用这些缺陷并无需太高的技术水平。
供应商已经公布了关于设备的信息且发布了用户手册,这些都更容易让专家发现安全漏洞。
卡巴斯基实验室所分析的这个系统经常内嵌在加油系统中,研究人员认为这些系统连接到互联网上的时间已超过10年。
9月份,供应商 Orpak 获悉这些缺陷,并在一个月后告知研究人员称正在推出系统的加固版本,但此后并未分享和补丁相关的任何更新消息。目前该公司尚未作出回应。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
http://www.securityweek.com/automation-software-flaws-expose-gas-stations-hacker-attacks