Trovate vulnerabilità critiche nei sistemi di misurazione automatica del livello dei serbatoi

I ricercatori di Bitsight TRACE hanno individuato alcune vulnerabilità 0-day critiche in sei diversi sistemi di misurazione automatica del livello dei serbatoi (ATG) di cinque vendor.

I sistemi ATG sono in grado di monitorare e registrare automaticamente il livello, il volume e la temperatura dei prodotti contenuti nei serbatoi di stoccaggio, per esempio in quelli di benzina o altri carburanti delle stazioni di servizio. Questi sistemi si occupano anche di individuare eventuali perdite o altri problemi e notificare gli operatori con allarmi dedicati, oltre a intraprendere azioni di emergenza come la chiusura di valvole o di distributori.

Gli attaccanti possono sfruttare questi bug per eseguire tutta una serie di azioni malevole, come per esempio ottenere dati sensibili, disabilitare allarmi o interrompere l’erogazione dei servizi; in particolari condizioni, un cybercriminale può riuscire a ottenere il controllo completo dei sistemi di monitoraggio.

I modelli di ATG più colpiti sono i Maglink LX e Maglink LX4 che contano 6 delle 11 vulnerabilità scoperte, seguiti dal Franklin TS-550, dall’OPW SiteSentinel, dal Proteus OEL8000 e dall’Alisonic Sibylla.

Le vulnerabilità dei sistemi di misurazione dei serbatoi

In una sola settimana, i ricercatori di Bitsight TRACE hanno scoperto 11 vulnerabilità in 6 modelli di sistemi ATG, di cui una un duplicato di un bug già esistente. Delle restanti 10, due hanno ottenuto un punteggio CVSS di 10 e altre cinque sono state segnalate come critiche.

Le due vulnerabilità più critiche consentono l’esecuzione di comandi arbitrari sul sistema operativo, mentre altre permettono a un attaccante di superare i controlli di autenticazione. Uno dei bug critici colpisce l’applicazione web di uno dei sistemi: uno degli account disponibili ha privilegi di amministrazione e usa una password di default che non può essere modificata.

“Tutte queste vulnerabilità permettono di ottenere pieni privilegi di amministratore sul dispositivo e, alcune di esse, accesso operativo completo al sistema“ scrivono i ricercatori. Come altri sistemi ICS, gli ATG sono stati ideati decine di anni fa quando non si contemplavano misure di sicurezza robuste, tantomeno adeguate alle minacce moderne. Molti di questi sistemi, inoltre, non sono stati progettati per essere connessi ad ambienti pericolosi come Internet e, integrandoli alle nuove tecnologie per renderli più efficienti e avere accesso remoto, hanno ampliato significativamente la superficie di attacco.

Le conseguenze degli exploit che sfruttano questi bug variano da una “semplice” interruzione di servizio a danni fisici: secondo i ricercatori di Bitsight, gli attaccanti possono modificare parametri critici che portano a perdite di carburante e a danneggiare altri componenti dell’infrastruttura, oltre che disabilitare gli allarmi. Esistono poi anche dei danni indiretti derivanti dal controllo di questi sistemi: gli attaccanti possono monitorare le vendite e ottenere insight finanziari sulle singole stazioni di servizio.

Non sono solo le stazioni di servizio a essere colpite da queste minaccia, ma anche aeroporti, sistemi governativi e compagnie del manifatturiero.

Nonostante non sia così semplice sfruttare queste vulnerabilità per alterare le funzionalità dei serbatoi, è indispensabile migliorare la sicurezza dei sistemi ATG per renderli più affidabili e resilienti a eventuali attacchi. I ricercatori di Bitsight, in particolare, chiedono un’evoluzione dell’industria verso una filosofia “secure by design”, anche se il cambiamento sarà lento e costoso.

Lo sforzo in questione deve coinvolgere più entità: non sono solo i produttori degli ATG a dover cambiare il proprio modus operandi, ma anche i clienti e i partner che devono impegnarsi a adottare misure di sicurezza per proteggere i sistemi, limitando gli accessi non autorizzati. Infine, la classe politica stessa deve comprendere a fondo i problemi di questi e tutti gli altri sistemi di controllo industriale per definire strategie e programmi che aiutino le imprese a sviluppare una cultura di cybersicurezza più robusta.