سیستمهای کنترل صنعتی ساخته شده توسط سازندگان مختلف برای نظارت بر مخازن ذخیره ساز سوخت، از جمله آنهایی که در پمپ بنزینها استفاده میشوند، حاوی آسیب پذیریهای بحرانی هستند که میتوانند آنها را به اهدافی برای هکرها تبدیل کنند.
سیستمهای سنج یا اندازهگیری مخزن اتوماتیک (ATG[1])، سیستمهای حسگری هستند که برای نظارت بر سطح یک مخزن ذخیره ساز (به عنوان مثال مخزن سوخت) با هدف تعیین نشتی و دیگر پارامترها طراحی شدهاند.
محققان BitSight دریافتهاند که باگهای امنیتی در سیستمهای اندازهگیری خودکار مخازن میتوانند به هکرها اجازه دهند تا تشخیص نشت را غیرفعال سازند و خطرات قابل توجهی را از جمله آسیبهای جسمی و فیزیکی، خطرات زیست محیطی و خسارات مالی ایجاد کنند.
پمپ بنزینها، بیمارستانها، فرودگاهها، پایگاههای نظامی و سایر تاسیسات زیرساخت حیاتی از ATGها استفاده میکنند.
محققان یازده آسیب پذیری بحرانی را در شش مدل از ATGهای مختلف از شش تولید کننده شناسایی کردهاند که سوء استفاده از این نقصها میتواند این سیستمها را در معرض حملات از راه دور قرار دهد.
این نقصهای امنیتی شامل اسکریپت بین سایتی (XSS[2]) و دور زدن مکانیزم احراز هویت، تزریق فرمان (command injection) و خواندن فایل دلخواه میباشند که دسترسی کامل به سیستم را برای هکرها فراهم میآورند.
خبر هولناک این است که هزاران ATG متصل به اینترنت به وجود دارد! استاندارد ارتباطی پرکاربرد در این سیستمها اساساً ناامن است و در ابتدا برای اینترفیسهای RS-232 سریال طراحی شده بودند و بعداً در شبکههای TCP/IP به کار گرفته شدند.
انتقال اتصال به شبکه اینترنت، بدون تدابیر امنیتی مناسب، این سیستمها را در برابر طیف وسیعی از حملات آسیب پذیر کرده است.
از این رو، سو استفاده از نقصهای امنیتی در چنین سیستمهایی میتواند عواقب جدی از جمله حملات انکار سرویس (DoS) و آسیبهای فیزیکی به دنبال داشته باشد.
یازده آسیب پذیری جدید کشف شده بر شش مدل ATG، یعنی Maglink LX، Maglink LX4، OPW SiteSentinel، Proteus OEL8000، Alisonic Sibylla و Franklin TS-550 تأثیر میگذارد. هشت مورد از این یازده آسیب پذیریها، بحرانی هستند:
CVE-2024-45066 (امتیاز CVSS: 10.0) – تزریق فرمان سیستم عامل در Maglink LX
CVE-2024-43693 (امتیاز CVSS: 10.0) – تزریق فرمان سیستم عامل در Maglink LX
CVE-2024-43423 (امتیاز CVSS: 9.8) – داده های هاردکد شده در Maglink LX4
CVE-2024-8310 (امتیاز CVSS: 9.8) – دور زدن مکانیزم احراز هویت در OPW SiteSentinel
CVE-2024-6981 (امتیاز CVSS: 9.8) – دور زدن مکانیزم احراز هویت در Proteus OEL8000
CVE-2024-43692 (امتیاز CVSS: 9.8) – دور زدن مکانیزم احراز هویت در Maglink LX
CVE-2024-8630 (امتیاز CVSS: 9.4) – SQL injection در Alisonic Sibylla
CVE-2023-41256 (امتیاز CVSS: 9.1) – دور زدن مکانیزم احراز هویت در Maglink LX
CVE-2024-41725 (امتیاز CVSS: 8.8) – اسکریپت بین سایتی (XSS) در Maglink LX
CVE-2024-45373 (امتیاز CVSS: 8.8) – افزایش سطح دسترسی در Maglink LX4
CVE-2024-8497 (امتیاز CVSS: 7.5) – خواندن فایل دلخواه در Franklin TS-550
تمام این آسیبپذیریها اجازه میدهند تا سطح دسترسی administrator در برخی دستگاهها و سیستم عاملها فراهم شود. مخربترین حمله این است که دستگاهها به گونهای کار کنند که ممکن است به اجزای آنها یا اجزای متصل به آنها آسیب فیزیکی وارد گردد.
محققان تاکید کردهاند که سازمانهایی که از سیستمهای ATG استفاده میکنند میبایست گامهای بیشتری را برای محافظت از سیستمهای خود در برابر سوء استفادههای احتمالی بردارند. آنها توصیه کردهاند که سیستمهای ATG را از اینترنت عمومی جدا کنید، کنترلهای دسترسی سختگیرانهتری را اجرا نمایید و از تقسیمبندی شبکه برای کاهش سطح حمله و جلوگیری از دسترسی غیرمجاز بهره گیرید.
BitSight این آسیب پذیریها را با همکاری آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده گزارش کرده است.
بطور کلی تهدیدات حوزه [3]OT (فناوری عملیاتی) و [4]ICS (سیستمهای کنترل صنعتی) میتوانند عواقب جبران ناپذیری به دنبال داشته باشند.
[1] Automatic Tank Gauge
[2] Cross-Site Scripting
[3] Operational Technology
[4] industrial control systems
