Üzemanyag-figyelő rendszerek (ATG) támadható beállításai

A Rapid7 és a TrendMicro által folytatott három hetes vizsgálat eredményeként komoly biztonsági kockázatokra bukkantak az ATG rendszerek vonatkozásában.

Az ATG rendszerek feladata, hogy figyeljék az üzemanyag tartályok szintjét, kövessék a szállítmányokat és jelezzenek bármilyen problémát a rendszerben (pl.: üzemanyagszivárgás). Ilyen megoldásokat alkalmaz az Egyesült Államok szinte összes töltőállomása és világszerte több tízezer rendszer. Hogy távolról is megfigyelhető legyen a töltőállomás állapota, az ATG-ket úgy konfigurálják, hogy egy soros porton (TCP 10001) figyelik az internetről érkező forgalmat. Mivel a soros portokat ritkán védik jelszavakkal, ez problémát okozhat.

A Rapid7 szerint akár 5800 ilyen eszköz kapcsolódhat védtelenül, jelszó nélkül az internetre. A szervezet által küldött adatok szerint 4 magyar üzemanyagtöltő állomás érintett az ügyben.

Egy hozzáféréssel rendelkező rosszindulatú felhasználó egész állomásokat állíthat le, hamis üzemanyag szintet adhat meg, fals hibajelzéseseket generálhat és letilthatja a megfigyelő rendszert.

A TrendMicro szakemberei által vizsgált állomások közül 1515 volt védtelen összeköttetésben a hálózattal. Ezek között találtak egy amerikai töltőállomást, amelynek a rendszerébe bejutottak a támadók. Anyagi kár nem történt, mindössze egy kút nevét írták át. A sérülékenység nem kritikus, azonban komoly adatvesztési és üzemanyag utánpótlási problémákat okozhat.

Az ipari irányító rendszerekkel dolgozó biztonsági szakemberek szerint az eszközök 88%-a nincs megfelelően konfigurálva.

Központunk az alábbi lépések megtételét javasolja, a kockázatok csökkentése érdekében:
- Tűzfal mögé kell helyezni minden rendszerirányító eszközt.
- Biztonságos távoli hozzáférési eljárásokat kell bevezetni, mint például a VPN.
- IP címek szűrése.
- A soros portok levédése jelszóval.

Cikk
Szabad címkék