.
Dezenas de milhares de tanques de armazenamento de combustível em instalações de infraestrutura crítica continuam vulneráveis a ataques de dia zero devido a sistemas de medição automática de tanques com bugs de vários fornecedores, dizem pesquisadores de infosec.
Os Automatic Tank Gauges (ATGs) são usados para monitorar os níveis de combustível em tanques de armazenamento e garantir que os tanques não vazem. Os dez CVEs divulgados hoje foram encontrados em produtos de vários fornecedores diferentes: Dover Fueling Solutions (DFS), OPW Fuel Management Systems (de propriedade da DFS), Franklin Fueling Systems e OMNTEC.
Sete são classificados como críticos, e todos eles permitem privilégios totais de administrador do aplicativo do dispositivo, de acordo com a Bitsight, que encontrou as falhas e as relatou à Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) há seis meses. Três dos produtos com bugs ainda não têm uma correção.
“É um exploit que move algo, então você tem um impacto no mundo físico”, disse Pedro Umbelino, principal cientista de pesquisa da Bitsight. O Registro. Especificamente, ATGs vulneráveis podem ser usados de forma abusiva para causar danos físicos, ambientais e no mundo real, e a Bitsight viu esses produtos vulneráveis em uso em postos de gasolina, aeroportos, sistemas governamentais, fabricantes e empresas de serviços públicos, ele acrescentou.
Apesar de a CISA e a Bitsight terem passado os últimos seis meses tentando trabalhar com fornecedores para tapar as falhas de segurança, Umbelino estima que o número de dispositivos vulneráveis ainda esteja na faixa de 1.200 a 1.500.
“Todos eles permitem a mesma coisa: acesso, então você pode realmente controlar o dispositivo como se fosse o dono do dispositivo, você pode controlar tudo”, ele disse. “Quando você está tentando explorar um dispositivo, esse é o Santo Graal.”
Esse dano físico pode incluir a alteração de parâmetros críticos, como capacidade, resultando em tanques transbordando. Há também o risco de um invasor remoto alterar as configurações do tanque ou desabilitar alarmes, o que também aumentaria a chance de um vazamento perigoso, dependendo do tipo de combustível armazenado.
Todos os bugs podem ser explorados remotamente e são considerados de “baixa complexidade de ataque”, de acordo com a CISA, que divulgou hoje suas próprias divulgações sobre as falhas.
Isso inclui CVE-2024-45066 e CVE-2024-43693, ambos bugs de injeção de comando do SO no ProGauge Maglink LX e consoles da DFS. Essas duas falhas ganharam uma classificação de gravidade perfeita de 10 — e por um bom motivo. Um invasor remoto pode enviar uma solicitação POST especialmente criada para submenus do console para injetar comandos maliciosos e então é game over.
Os pesquisadores também encontraram uma vulnerabilidade de credenciais hardcoded com classificação 9.8, rastreada como CVE-2024-43423, no dispositivo Maglink LX4 da DFS. Especificamente, o aplicativo da web para o console contém uma conta de usuário de nível administrativo com uma senha imutável.
O Maglink LX4 também é vulnerável ao CVE-2024-45373, uma falha de escalonamento de privilégios que permite que um usuário válido altere seus privilégios para administrador. Ele recebeu uma classificação CVSS de 8,8.
Completando o restante dos bugs do DFS, CVE-2024-43692 é um bug de bypass de autenticação com classificação 9,8 no Maglink LX, enquanto CVE-2024-41725, uma falha de script entre sites no mesmo produto, recebeu uma pontuação CVSS de 8,8.
Passando para o dispositivo Franklin Fueling Systems TS-550, uma falha de leitura de arquivo arbitrário (CVE-2024-8497) com uma classificação CVSS de 7,5 pode ser explorada para obter acesso administrativo ao dispositivo afetado.
A boa notícia é que todos os produtos Maglink com bugs e o feito pela Franklin têm correções. Os fabricantes pedem aos usuários que ainda não fizeram a atualização para a versão mais recente dos produtos afetados.
Além disso, a CISA e a Bitsight sugerem colocar esses sistemas críticos atrás de firewalls e isolá-los das redes empresariais. Certifique-se de que esses — e todos os dispositivos do sistema de controle industrial — não sejam acessíveis pela internet pública. E se você tiver que permitir acesso remoto, use uma VPN segura.
Embora esses sete CVEs tenham atualizações fornecidas pelo fabricante para atenuar a falha, os três restantes não têm correções.
Isso inclui um bug no sistema de gerenciamento de combustível SiteSentinel da OPW, que tem uma falha de classificação 9.8 rastreada como CVE-2024-8310. Essa vulnerabilidade pode permitir que um invasor ignore a autenticação no servidor e obtenha privilégios totais de administrador.
A empresa controladora da OPW Fuel Management Systems é a DFS. Esse bug afetou versões do SiteSentinel anteriores à 17Q.2.1, que estão no fim da vida útil. Como tal, a DFS não emitirá nenhum patch para os produtos antigos.
O fabricante recomenda que os usuários instalem o dispositivo atrás de um firewall e atualizem para pelo menos v17Q.2.1. Usuários com versões mais recentes também devem entrar em contato com a DFS para confirmar que estão executando uma compilação com as correções necessárias.
Enquanto isso, a OMNTEC e a Alisonic Sibylla, as duas fabricantes restantes de ATG do grupo, não responderam às tentativas da CISA de coordenar a mitigação, segundo nos disseram.
O dispositivo de monitoramento de tanques Proteus OEL8000 da OMNTEC continua vulnerável a um bug de bypass de autenticação de classificação 9,8, rastreado como CVE-2024-6981, sem correção.
Os dispositivos Alisonic Sibylla são vulneráveis a ataques de injeção de SQL, que podem permitir acesso completo ao banco de dados. Essa falha (CVE-2024-8630) recebeu uma classificação CVSS de 9,4 e também não tem correção.
“O desafio com esses dispositivos, e sistemas de controle industrial em geral, é que eles são realmente difíceis de consertar”, disse Umbelino, acrescentando que geralmente é necessário que alguém visite fisicamente a instalação onde o dispositivo está localizado e, então, aplique a correção manualmente.
E para um dispositivo que ainda não tem nenhuma mitigação? “Tire-o da internet”, ele disse. “Ele não deve ser exposto diretamente.” ®
.
