今年2月初,卡巴斯基实验室报告称,严重漏洞影响加油站自动化软件,全世界的加油站面临远程黑客攻击风险。
受影响的产品是Orpak公司宣传为“加油站心脏”的SiteOmat。该软件运行在嵌入式Linux机器或标准PC上,提供“安全完整的现场自动化,管理加油机、支付终端、前庭控制器和油箱,可完全控制和记录每一笔交易。”
卡巴斯基研究人员发现,广告词中“安全”的部分并不完全真实,使用该产品的1000多家加油站都可以从互联网上远程访问,暴露在互联网上的加油站中有半数都位于美国和印度。
加油站暴露在互联网上数量最多的8个国家
在研究之前,我们真的以为所有加油系统都是不接入互联网且监管良好的。但我们错了。以我们在网络安全上的丰富经验来看,即便是最初级的攻击者都可以利用该产品从世界上任一角落控制这些加油系统。
这家安全公司宣称,恶意黑客可利用影响SiteOmat的漏洞从事各种非法行为,包括修改油价、关闭加油系统和引发漏油。
网络层各主控单元和其访问权限
黑客还可以利用这些安全漏洞在目标公司的网络中横向移动,获取支付系统控制权,盗取财务数据,窃取加油站客户的信息(比如车牌号、驾照数据等)。另一个可能的漏洞利用场景则与勒索软件类似,以破坏加油站运营为要挟,索取赎金。
这些攻击源于一系列漏洞,包括硬编码凭证(CVE-2017-14728)、持续跨站(CVE-2017-14850)、SQL注入(CVE-2017-14851)、不安全通信(CVE-2017-14852)、代码注入(CVE-2017-14853)和远程代码执行(CVE-2017-14854)。
厂商会随设备提供相关技术信息和详细的用户手册,方便了专家找出这些安全漏洞。
卡巴斯基分析的系统广泛嵌入在加油系统中,研究人员认为这些系统接入互联网已经超过10年时间了。
Orpak在去年9月就接到了漏洞报告,10月份时表示已着手进行系统强化,但此后就再也没有报告过补丁进展状况。
相关阅读
