Araştırmacılar, bazıları yamalanmamış olan otomatik tank ölçüm sistemlerindeki birden fazla kritik güvenlik açığının, kritik altyapı tesislerinde kesintiye ve fiziksel hasara yol açabileceği konusunda uyarıyor.
ATG’ler, dolum seviyelerinin çok düşük veya çok yüksek olmamasını sağlamak, sızıntıların gerçek zamanlı olarak tespit edilmesini sağlamak ve envanteri yönetmek için yakıt depolama tanklarını izleyen ve yöneten sensör sistemleridir. ATG’ler, benzin istasyonları ve havaalanları gibi beklediğiniz yerlerde bulunabilir, ancak daha az belirgin kurulumlarda da bulunabilir.
“Örneğin ABD’de, bize belirli bir boyuttaki herhangi bir yakıt tankına ATG sistemi takmanın yasa gereği zorunlu olduğu söylendi,” diye açıklıyor Bitsight’ın TRACE biriminin baş araştırma bilimcisi Pedro Umbelino Dark Reading’e. “Benzin istasyonları en büyük ve en belirgin kullanım örneğidir, ancak ATG’ler için ikinci en büyük kullanım örneği büyük yedek jeneratörler gerektiren kritik tesislerdir – bunları genellikle hastaneler, askeri tesisler ve havaalanları gibi tesislerde görürsünüz.”
Endişe verici bir şekilde, yeni keşfedilen güvenlik açıklarının çoğu bir saldırganın bir yönetici olarak bir ATG’nin tam kontrolüne sahip olmasına izin veriyor. Ve Umbelino’ya göre, beş farklı satıcıdan altı ATG sistemindeki 11 hata, yakıt kullanımını kullanılamaz hale getirmekten çevresel tahribat yaratmaya kadar uzanan bir dizi kötü niyetli faaliyete kapı açabilir.
“Daha da endişe verici olan, geçmişteki birçok uyarıya rağmen, binlerce ATG’nin hala çevrimiçi olması ve doğrudan İnternet üzerinden erişilebilir olması, bu da onları özellikle sabotaj veya siber savaş senaryolarında siber saldırılar için birincil hedef haline getiriyor,” diyor Umbelino. bir analizde şöyle dedi 24 Eylül’de yayınlandı.
Hatalar altı ay önce, Bitsight, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve etkilenen satıcıların sorunları hafifletmek için birlikte çalışmasıyla keşfedildi. Umbelino, bu çabaların bir sonucu olarak “Maglink ve Franklin yamalar yayınladı” diyor. “Etkilenen OPW ürünü EOL’ye tabi tutuldu [end of life] ve artık satıcı tarafından desteklenmiyor, bu yüzden bir yama yayınlamayacaklar. Proteus ve Alisonic, açıklama sürecinin bir parçası olarak bizimle veya CISA ile etkileşime girmedi, bu yüzden bir azaltma planı yayınlayıp yayınlamadıkları veya üzerinde çalışıp çalışmadıkları bizim için belirsiz.”
Ancak düzeltmenin bittiği yer yama uygulamak değil.
“Yama yayınlanmış cihazlar için bile, en önemli önerim bu cihazları genel İnternet’ten ayırmaktır,” diyor Umbelino. “Çoğu, bugün olduğu gibi bağlanmak üzere tasarlanmamıştı, bu yüzden İnternet’e bağlı cihazlar için gereken güvenlik düzeyiyle üretilmemişlerdi. Satıcıların başlangıçta amaçlamadığı şekillerde kullanılıyorlar ve bu güvenlik açıklarının temelinde yatan da bu. Bunları genel İnternet’ten çıkarmak tek gerçek çözüm.”
ATG Kurcalamasından Kaynaklanan Büyük Siber Risk
ATG’ler depolama tanklarındaki ürünlerin seviyesini, hacmini ve sıcaklığını otomatik olarak ölçmek ve kaydetmekle kalmaz, aynı zamanda genellikle sirenlere, acil durum kapatma vanalarına, havalandırma sistemlerine ve yakıt dağıtıcıları gibi çevre birimlerine bağlanır.
Umbelino, “Bu cihazları güvenlik araştırmacıları veya kötü niyetli aktörler için çekici kılan şeylerden biri de, istenmeyen şekillerde kötüye kullanıldıklarında feci sonuçlara yol açabilecek fiziksel süreçleri kontrol etme potansiyelidir” dedi.
Umbelino’nun açıkladığı gibi, “Vanilla’nın çapraz site betiklemesini (XSS) yansıttığını bulduk. Kimlik doğrulama atlamaları doğrudan yol erişimiydi. Komut enjeksiyonlarında filtreleme yoktu. Sabit kodlanmış yönetici kimlik bilgileri vardı. Keyfi dosya okuması doğrudan yol geçiş erişimiydi ve yönetici kimlik bilgileri sağlıyordu. SQL enjeksiyonu tam SQL hata günlükleri yardımıyla istismar edilebilirdi.”
Güvenlik açıkları şu şekildedir:
Kaynak: Bitsight TRACE.
Bu sonuçlara örnek olarak saldırganlar, bir tankın alabileceği sıvı miktarını değiştirmek için böcekleri kullanabilirken, aynı zamanda taşma alarmlarını da kurcalayabilir. Sonuç, gaz sızıntılarına ve çevresel kaosa neden olabilecek, tespit edilemeyen bir tank taşması olabilir.
Ve Umbelino’nun gönderide açıkladığı gibi, “En zararlı saldırı, cihazların bileşenlerine veya bunlara bağlı bileşenlere fiziksel hasar verebilecek şekilde çalıştırılmasıdır. Araştırmamızda, bir saldırganın bir cihaza erişebileceğini ve röleleri çok yüksek hızlarda çalıştırabileceğini ve bunlara kalıcı hasar verebileceğini gösterdik.”
Diğer kötü sonuçlar arasında hizmet reddi (DoS) yoluyla sistemlerin erişilemez hale getirilmesi, rekabetçi operasyon verilerinin (teslimat tarihleri, fiyatlandırma, envanter bilgisi, alarm türleri vb.) ifşa edilmesi veya olası düzenleyici para cezalarına yol açan uyumluluk verilerinin kaybı yer alır. Örneğin bir DoS senaryosunda, bir saldırı “çalışma süresine yol açabilir ve genellikle insan müdahalesi gerektirir” diye açıkladı Umbelino gönderide. “Aslında, bu tür saldırılar şu anda devam ediyor ve sadece iki hafta önce bir güvenlik açığı yayınladığımız en az bir cihaz markasının istismar edildiği iddiaları var.”
Artan Siber Tehdit Altındaki Kritik Altyapı
Kritik altyapı tehdit ortamı, güvenlik uygulayıcıları için zorlu bir sorun olmaya devam ediyor. Bunun en önemli nedeni, ICS sistemlerinin ve bunları kontrol eden operasyonel teknolojinin (OT), güvenliğe değil güvenilirliğe ve verimliliğe öncelik verecek şekilde tasarlanmış olmasıdır.
“Sonuç olarak, genellikle modern korumalardan yoksunlar,” diye belirtti Umbelino. “Ek olarak … satıcılar yakın zamanda verimliliği ve uzaktan erişimi iyileştirmek için bunları daha yeni teknolojiyle entegre etmeye başladılar ve bu da tehdit modellerini önemli ölçüde değiştiriyor. Elbette, ICS sistemlerine aşina siber güvenlik uzmanlarının eksikliği de var. Kimse aramıyorsa güvenlik açıklarını bulmak zor.”
Tehdit aktörleri şunu fark etti: Volt Typhoon gibi Çin APT’leri ve diğerleri, operasyonel casusluk ve yıkıcı saldırılar için potansiyel yetiştirmek için fiziksel altyapıda bir yer edinmeye çalışıyor. Fidye yazılımı çetelerinin, kötü şöhretli Sömürge Boru Hattı siber saldırısı.
Umbelino, “Bulduğumuz güvenlik açıklarıyla ilgili olmasa da, Ukrayna-Rusya savaşında ATG sistemleri de dahil olmak üzere ICT/OT kesintisi iddiasında bulunan bir grup var,” diyor. ” bu tweet“OPW ATG sisteminin hedef alındığını görebiliyoruz, ancak bunların birçok başka ICT/OT cihazını da etkilediğini iddia ediyorlar; bu da saldırganların kritik altyapıdaki bu unsurları hedef olarak gördüğünü gösteriyor.”
CISA’nın kendisi artan tehditleri işaret etti su temini kuruluşları, enerji santralleriüretme, telekom operatörleri, askeri ayak izlerive daha fazlası — çoğunlukla Çin, Rusya ve İran tarafından desteklenen APT’ler tarafından yürütülen saldırılar.
Savunmacılar şu ana kadar geçitte meydana gelebilecek felaket niteliğindeki saldırıları önlediler ve hataları istismar etmek için gereken karmaşıklık ve incelik göz önüne alındığında, yakın gelecekte büyük çaplı gaz sızıntıları beklemek için bir neden yok, ancak riskin önünde kalmak önemli.
“Sadece güvenlik açıklarını gidermekle ilgili değil, ilk etapta var olmalarını zorlaştıran güvenlik uygulamalarını benimsemekle ilgili,” diye açıkladı Umbelino analizde. “Ve sadece güvenlik açıklarının kendisiyle ilgili değil, bunların açığa çıkmasıyla ilgili. Kuruluşların, bu tür kritik sistemlerin genel İnternet’e maruz bırakılmaması gerekir“Tedarikçilerin sistemlerini zamanında güncelleme becerisinden bağımsız olarak, maruziyetlerini etkili bir şekilde değerlendirmeleri, mevcut risklerini anlamaları ve bu tür sorunları ele almaya başlamaları gerekiyor.”
Güvenlik araştırmacılarının da önemli bir rol oynayacağını belirten uzman, paydaşların ICS odaklarını genişletmeleri gerektiğini kaydetti.
Umbelino, “Toplumumuzun çok önemli kısımlarını kontrol eden ve kötüye kullanıldığında dünya üzerinde fiziksel bir etkiye, bazen de felakete yol açabilen bu tür sistemlere daha fazla dikkat etmeye başlamalıyız,” diyor. “Saldırganlardan daha hızlı bir şekilde İnternet’e açık bir şekilde maruz kalma riskini sistematik olarak keşfetmeli, sınıflandırmalı ve azaltmalı ve bu riski etkilenen tüm taraflara iletebilmeliyiz. Kolay bir iş değil.”