危言耸听？理论上对加油站的毁灭性网络攻击

2022年11月8日，知名工业网络安全公司Claroty的研究部门Team82披露了ABB TotalFlow流量计算机和远程控制器的路径遍历漏洞细节，该漏洞可以使攻击者接管流量计算机，远程破坏流量计算机精确测量油气流量的能力。这些专门的计算机用于计算这些度量值，这些度量值被用作许多功能的输入，包括配置和客户账单。Claroty的安全研究员维拉·门斯(Vera Mens)在公司的一篇博客文章中写道:“成功利用这个问题可能会阻碍公司向客户收费的能力，迫使服务中断，类似于Colonial Pipeline在2021年遭受勒索软件攻击后所遭受的那种严重后果。”Team82之所以专注于ABB流量计算机，是因为它们在全球许多大型油气公司中都有使用。Team82在ABB的TotalFlow流量计算机和远程控制器中发现的这个高度严重的路径遍历漏洞(CVE-2022-0902)，影响的产品包括ABB的RMC-100(标准)、RMC-100- lite、XIO、XFCG5、XRCG5、uFLOG5和UDC产品。流量计算机是专门计算石油和天然气的体积和流量的计算机，其另外一个重要功能是计费。Colonial Pipeline勒索事件就是因为无法计费而不得不中断运营，导致震惊全球、全美告急的严重后果。

两个月前（2022年9月8日），安全研究者RoseSecurity撰文指出，美国的加油站存在理论上的毁灭性网络攻击风险。再一次强调加油站的自动储罐计量器(ATG)的安全问题。加油站的网络安全风险再次进入公众视野。

文章中称，2015年，Metasploit的创建者HD Moore发表了一篇文章，披露了5,800多个可在互联网上公开访问的加油站自动储罐计量器(ATG)。除了监测泄漏之外，这些系统还有助于测量液位、罐温度，并且可以在罐容量过高或达到临界低值时向操作员发出警报。美国几乎每个加油站和国际上数以万计的系统都使用ATG。它们通常由燃油加油机、支付系统和前庭商品供应商Veeder-Root制造。对于这些燃料系统的远程监控，操作员通常会将ATG串行接口配置为面向互联网的TCP端口（通常设置为TCP 10001）。

访问这些系统的过程非常简单：远程登录到端口并发出记录在案的TLS-350或 TLS-250 命令来执行从设置警报阈值到编辑传感器配置和运行储油罐测试的所有操作。虽然Nmap和 Metasploit工具，包括用于枚举这些设备的脚本，但该功能通常仅限于In-Tank Inventory Reports和System Status Reports。这些脚本非常适合侦察，但如果攻击者决定通过更改访问设置和模拟错误条件来完全阻止油罐的使用，从而触发手动关闭，该怎么办？如此规模的分布式攻击会导致国家瘫痪吗？带着这个问题，研究人员开始探索这些设备的攻击面自 2015年以来是如何演变的。

了解潜在的攻击面

像往常一样，研究人员的第一站是Shodan——一个联网设备的搜索引擎。搜索在10001上具有开放TCP端口的系统时，研究人员迅速将误报范围缩小到使用In-Tank Inventory Reports响应Shodan爬虫的设备。这揭示了2022年8月超过11,000个ATG可以搜索到；下图显示了2017年至2022年可公开访问的ATG的趋势数据。

自2017年以来的ATG暴露趋势

由于可能有11,000台ATG不安全地连接到互联网，研究人员发现每三台设备中有近两台位于美国！（编者注：注意，也有近3%的开放的ATG位于中国，这差不多有300多台！）

按国家/地区划分的Shodan搜索到的ATG暴露情况

深入研究，Shodan以图形方式显示了这些系统的相对地理位置。这让研究人员想到，如果恶意威胁参与者可以同时向所有这些ATG发出一个命令怎么办？带着好奇心，研究人员开始寻找答案。

公开的ATG的地理位置分布

当前威胁形势评估

对于大规模利用这些设备的恶意威胁行为者，攻击者需要对易于访问的互联网连接ATG 有透彻的了解。在进行互联网范围扫描后，超过85,000台设备被确定为使用TCP 端口10001。

root@RoseSecurity# cat ATG_SCAN_COMPLETE.txt | wc -l85104

为了列举将TCP端口10001用作潜在ATG的设备，研究人员构建了一个Python脚本来读取IP地址的输出文件，然后再向每个打开TCP端口10001的IPv4地址发送Get In-Tank Inventory Report请求(I20100)。在确定哪些设备是ATG之后，这些IP地址被输出到一个名为ATG_DEVICES.txt的新文件中。

对有效的ATG的筛选和验证

在针对脚本运行文件的内容后，研究者发现，超过11,000个可公开访问的ATG继续存在于野外，但是虽然Get In-Tank Inventory Report请求(I20100)可能看起来是良性的，但如果攻击者同时发送每个连接互联网的ATG的其他600个记录功能代码之一？那会是什么后果？

TLS 300/350/350R监控系统的功能码示例

一个攻击者可能不费吹灰之力就能关闭美国7,000多个加油站，这是否会让这个国家陷入瘫痪？研究人员相信答案很明确，但是网络防御者和运营者可以做些什么来降低这种风险呢？

首先，使用口令保护每个串行端口或应用源IP地址过滤器可能会有所帮助，但运营商应考虑使用VPN网关或其他专用硬件接口将其ATG与其监控服务连接起来。虽然这些都是可行的解决方案，但补救这场危机的第一步始于安全意识。关键系统的攻击面在7年内增加近120%是不可接受的。

HD Moore在2015年就已经发出了警告。让研究人员们继续呐喊吧！

来源：

1、https://medium.com/block-magnates/a-theoretically-devastating-cyber-attack-on-americas-gas-stations-ff1d9bbaf1

2、https://industrialcyber.co/mining-oil-gas/clarotys-team82-finds-path-traversal-vulnerability-in-abb-totalflow-flow-computers-and-controllers/