盡管已經發出了十年的警告，監控油罐的設備依然存在關鍵漏洞和糟糕的代碼質量，這可能使攻擊者能夠禁用系統、竊取燃料甚至導致危險泄漏。

根據安全公司BitSight Technologies的研究，數千個自動油罐測量(ATG)系統被用于加油站、電廠、機場、軍事基地以及其他關鍵基礎設施中，這些系統暴露于互聯網，使用不安全的遺留協議和脆弱的管理接口。

ATG系統用于監測油罐內的燃料水平、壓力和溫度，并設計用于檢測潛在泄漏并觸發應對措施。攻擊者可能利用這些弱點改變油罐配置并禁用警報，導致油罐溢出和危險的燃料泄漏。

ATG系統的脆弱性早在2015年之前就已被發現，當時Trend Micro進行了一項調查，設置了GasPots實驗，使用蜜罐系統引誘攻擊者，以研究他們的方法并評估弱點。

在最近的研究中，BitSight的研究人員發現了來自五個不同制造商的六個ATG型號中存在11個關鍵和高嚴重性漏洞，重點分析了那些最常暴露于互聯網的型號。

這些缺陷包括操作系統命令注入、硬編碼憑證、認證繞過、跨站腳本、SQL注入、任意文件讀取和權限升級。美國網絡安全和基礎設施安全局(CISA)在周二針對這些漏洞發布了警告。

大多數缺陷可能允許攻擊者獲得管理接口或底層操作系統的管理員權限，使他們能夠暫時禁用系統或對其外圍設備(如閥門、泵、通風系統和警報器)造成物理損害。

根本的安全缺陷應早已得到解決

此外，研究人員指出，缺乏標準的安全編碼實踐和設計上的緩解措施本可以避免這些系統中出現整類漏洞。

“最令人擔憂的并不是新漏洞的數量，甚至可能不是它們的嚴重性，而是它們反映了早該解決的根本安全缺陷。”研究人員在報告中表示。

“我們發現了基本的反射型XSS，認證繞過是直接路徑訪問，命令注入缺乏過濾，存在硬編碼的管理員憑證，任意文件讀取是直接路徑遍歷訪問，獲取了管理員憑證，SQL注入可以通過完整的SQL錯誤日志被利用。”

ATG系統長期以來存在安全問題

過去十年，多組研究人員警告互聯網連接的ATG系統不安全，主要是因為它們使用了一種稱為Veeder-Root TLS-450的遺留協議，該協議最初設計用于串行接口，缺乏現代安全保護。

ATG系統還可以連接到TCP/IP網絡，并會在TCP端口10001上監聽命令，這些命令隨后會被轉發到串行接口。

由于資產擁有者將其ATG系統暴露于互聯網以進行遠程管理和監控，他們無意中將這一不安全的協議暴露于攻擊之下。盡管該協議支持“安全代碼”選項，但這一代碼是可選的，并且僅為六位數字，安全性較弱。

“默認情況下，它是未使用的，可能是因為某些型號需要手動撥碼開關配置才能啟用這一功能，”BitSight的研究人員表示，“安全代碼被描述為六位數字。如果考慮到舊型號有數字鍵盤，這就很有意義，這大約有100萬種組合，現今很容易被猜測，一個每秒嘗試100個組合的攻擊者，只需不到三個小時就能遍歷整個代碼空間。”

該協議可用于更改網絡配置和警報目的地，修改可能產生物理影響的油罐、泵和繼電器參數，并可用于啟動和停止油罐和壓力管道的泄漏檢測測試。

漏洞可能導致物理損壞

“簡而言之，這些操作可能導致供應商所警告的災難性后果，”研究人員表示，“因此，斷開任何ATG與互聯網的連接至關重要，然而，僅在過去一個月內，我們發現有6542個設備(不包括GasPots)直接連接到互聯網且完全沒有安全代碼。”

在九月初，一組烏克蘭黑客針對俄羅斯基礎設施的團隊報告稱，成功入侵了多個路由器和工業控制系統，該團隊在X上發布的截圖之一來自一個ATG系統。

除了不安全的命令協議外，BitSight發現的11個漏洞可能導致ATG系統及其外圍設備的永久故障。例如，這些設備通過繼電器控制通風系統、緊急切斷閥、警報和泵，這些繼電器可以開啟或關閉，并承載不同電壓。

與大多數電氣設備一樣，繼電器有其電氣使用壽命。研究人員查看了某些調查型號的數據表，發現這些繼電器在最低工作電流下保證工作100萬次，這意味著在達到這一限制后，繼電器很可能會發生故障。

研究人員進行了一系列測試，使用設備上的命令行工具以每秒約50次的頻率開啟和關閉繼電器，負載為2A、30V直流電。在前四小時后，繼電器開始出現問題，并在6.2小時或1123520次操作后燒毀。

除了使用本地命令行界面，這種攻擊還可以通過ATG協議在互聯網上執行，使用功能代碼809來設置繼電器方向，這一設置繼電器方向的操作會導致繼電器開啟和關閉。

外圍設備可能比系統本身更早損壞

研究人員還警告說，連接到這些繼電器的外圍設備可能會比繼電器本身更早發生故障，因為它們并非設計用來承受許多開關循環作為正常操作的一部分。即便攻擊者無法損壞繼電器，他們也可能會禁用緊急切斷閥等設備。

“我們與專家交談時，他們對攻擊者能夠遠程更改油罐設置表示了特別的擔憂，”研究人員表示，“警報對于加油操作人員非常重要，幫助他們了解油罐何時即將滿，以便有足夠時間停止加油。沒有警報，溢出的可能性會顯著增加，這根據燃料類型，可能會造成危險情況。”

其他攻擊可能涉及重新配置系統、刪除數值或將設備重新閃存為有缺陷的固件，這將導致ATG系統出現停機。攻擊者還可能獲取關于燃料消耗模式的信息，這可能幫助他們為其他破壞性攻擊做準備，或使油罐在監控中完全消失，從而物理性地盜取燃料。

“在受這些新漏洞影響的組織中，我們驚訝地發現了機場、政府系統、制造業和公用事業公司等例子，”研究人員表示，“有一點是明確的，關于ATG系統整體及這些新漏洞特別是：美國是受到影響最嚴重的國家。”

組織應立即識別其部署的ATG系統或由第三方業務伙伴操作的系統，并對其進行安全評估，這些系統不應直接連接到互聯網，并應在其前面設置防火墻，以防止未經授權的訪問。

BitSight發現的新漏洞影響的ATG型號包括Maglink LX、Maglink LX4、OPW SiteSentinel、Proteus OEL8000、Alisonic Sibylla和Franklin TS-550，然而，其他型號也可能暴露其ATG協議，并可能連接到互聯網。