Kritieke gebreken in tankmetersystemen stellen benzinestations bloot aan aanvallen op afstand

Er zijn kritieke beveiligingskwetsbaarheden onthuld in zes verschillende Automatic Tank Gauge (ATG)-systemen van vijf fabrikanten die deze zouden kunnen blootstellen aan aanvallen op afstand.

“Deze kwetsbaarheden vormen aanzienlijke risico’s in de echte wereld, omdat ze door kwaadwillende actoren kunnen worden uitgebuit om wijdverbreide schade aan te richten, waaronder fysieke schade, gevaren voor het milieu en economische verliezen”, zei Bitsight-onderzoeker Pedro Umbelino in een rapport dat vorige week werd gepubliceerd.

Wat de zaken nog erger maakt, is dat uit de analyse blijkt dat duizenden ATG’s zijn blootgesteld aan het internet, waardoor ze een lucratief doelwit zijn voor kwaadwillende actoren die ontwrichtende en destructieve aanvallen willen uitvoeren op benzinestations, ziekenhuizen, luchthavens, militaire bases en andere kritieke infrastructuurvoorzieningen.

ATG’s zijn sensorsystemen die zijn ontworpen om het niveau van een opslagtank (bijvoorbeeld een brandstoftank) gedurende een bepaalde periode te bewaken met als doel lekkage en parameters te bepalen. Het misbruiken van beveiligingsfouten in dergelijke systemen kan daarom ernstige gevolgen hebben, waaronder Denial-of-Service (DoS) en fysieke schade.

De nieuw ontdekte elf kwetsbaarheden treffen zes ATG-modellen, namelijk Maglink LX, Maglink LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla en Franklin TS-550. Acht van de elf tekortkomingen worden als kritiek beoordeeld wat betreft ernst:

  • CVE-2024-45066 (CVSS-score: 10,0) – OS-opdrachtinjectie in Maglink LX
  • CVE-2024-43693 (CVSS-score: 10,0) – OS-opdrachtinjectie in Maglink LX
  • CVE-2024-43423 (CVSS-score: 9,8) – Hardgecodeerde inloggegevens in Maglink LX4
  • CVE-2024-8310 (CVSS-score: 9,8) – Authenticatie omzeilen in OPW SiteSentinel
  • CVE-2024-6981 (CVSS-score: 9,8) – Authenticatie-bypass in Proteus OEL8000
  • CVE-2024-43692 (CVSS-score: 9,8) – Authenticatie-bypass in Maglink LX
  • CVE-2024-8630 (CVSS-score: 9,4) – SQL-injectie in Alisonic Sibylla
  • CVE-2023-41256 (CVSS-score: 9,1) – Authenticatie-bypass in Maglink LX (een duplicaat van een eerder onthulde fout)
  • CVE-2024-41725 (CVSS-score: 8,8) – Cross-site scripting (XSS) in Maglink LX
  • CVE-2024-45373 (CVSS-score: 8,8) – Privilege-escalatie in Maglink LX4
  • CVE-2024-8497 (CVSS-score: 7,5) – Willekeurig bestand gelezen in Franklin TS-550

“Al deze kwetsbaarheden zorgen voor volledige beheerdersrechten van de apparaatapplicatie en, sommige daarvan, volledige toegang tot het besturingssysteem”, aldus Umbelino. “De meest schadelijke aanval is het zodanig laten werken van de apparaten dat fysieke schade kan worden veroorzaakt aan de componenten of de componenten die ermee verbonden zijn.”

Gebreken ontdekt in OpenPLC, Riello NetMan 204 en AJCloud

Er zijn ook beveiligingsfouten ontdekt in de open-source OpenPLC-oplossing, waaronder een kritieke stack-gebaseerde buffer-overflow-bug (CVE-2024-34026, CVSS-score: 9.0) die kan worden uitgebuit om code op afstand uit te voeren.

“Door een ENIP-verzoek te verzenden met een niet-ondersteunde opdrachtcode, een geldige inkapselingsheader en in totaal ten minste 500 bytes, is het mogelijk om voorbij de grens van de toegewezen log_msg-buffer te schrijven en de stapel te beschadigen”, aldus Cisco Talos. “Afhankelijk van de beveiligingsmaatregelen die op de betreffende host zijn ingesteld, kan verdere exploitatie mogelijk zijn.”

Een andere reeks beveiligingslekken betreft de Riello NetMan 204-netwerkcommunicatiekaart die wordt gebruikt in zijn Uninterruptible Power Supply (UPS)-systemen, waardoor kwaadwillende actoren de controle over de UPS kunnen overnemen en zelfs kunnen knoeien met de verzamelde loggegevens.

  • CVE-2024-8877 – SQL-injectie in drie API-eindpunten /cgi-bin/db_datalog_w.cgi, /cgi-bin/db_eventlog_w.cgi en /cgi-bin/db_multimetr_w.cgi die willekeurige gegevenswijziging mogelijk maakt
  • CVE-2024-8878 – Niet-geverifieerde wachtwoordreset via het eindpunt /recoverpassword.html dat kan worden misbruikt om de netmanid van het apparaat te verkrijgen, van waaruit de herstelcode voor het opnieuw instellen van het wachtwoord kan worden berekend

“Het invoeren van de herstelcode in ‘/recoverpassword.html’ reset de inloggegevens naar admin:admin”, zegt Thomas Weber van CyberDanube, waarbij hij opmerkt dat dit de aanvaller de mogelijkheid zou kunnen geven om het apparaat te kapen en uit te schakelen.

Beide kwetsbaarheden blijven ongepatcht, waardoor gebruikers de toegang tot de apparaten in kritieke omgevingen moeten beperken totdat er een oplossing beschikbaar komt.

Opvallend zijn ook verschillende kritieke kwetsbaarheden in het AJCloud IP-camerabeheerplatform die, als ze met succes worden uitgebuit, kunnen leiden tot het blootleggen van gevoelige gebruikersgegevens en aanvallers volledige afstandsbediening kunnen bieden over elke camera die is aangesloten op de smart home-cloudservice.

“Een ingebouwd P2P-commando, dat opzettelijk willekeurige schrijftoegang biedt tot een belangrijk configuratiebestand, kan worden gebruikt om camera’s permanent uit te schakelen of om de uitvoering van code op afstand te vergemakkelijken door een bufferoverflow te activeren”, aldus Elastic Security Labs. het Chinese bedrijf is tot nu toe niet succesvol geweest.

CISA waarschuwt voor aanhoudende aanvallen op OT-netwerken

Deze ontwikkeling komt op het moment dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) toenemende bedreigingen signaleerde voor via internet toegankelijke operationele technologie (OT) en industriële controlesystemen (ICS), waaronder die in de sector Water- en Afvalwatersystemen (WWS).

“Blootliggende en kwetsbare OT/ICS-systemen kunnen cyberbedreigingsactoren in staat stellen standaardreferenties te gebruiken, brute force-aanvallen uit te voeren of andere ongekunstelde methoden te gebruiken om toegang te krijgen tot deze apparaten en schade aan te richten”, aldus CISA.

Eerder dit jaar heeft de Amerikaanse regering zes functionarissen die verbonden zijn aan de Iraanse inlichtingendienst gesanctioneerd voor het aanvallen van kritieke infrastructuurentiteiten in de VS en andere landen.

Deze aanvallen omvatten het richten en compromitteren van door Israël gemaakte Unitronics Vision Series programmeerbare logische controllers (PLC’s) die publiekelijk aan het internet worden blootgesteld door het gebruik van standaardwachtwoorden.

Het industriële cyberbeveiligingsbedrijf Claroty heeft sindsdien twee tools open source ontwikkeld, genaamd PCOM2TCP en PCOMClient, waarmee gebruikers forensische informatie kunnen extraheren uit in Unitronics geïntegreerde HMI’s/PLC’s.

“PCOM2TCP stelt gebruikers in staat seriële PCOM-berichten om te zetten in TCP PCOM-berichten en omgekeerd”, aldus het bedrijf. “Met de tweede tool, PCOMClient genaamd, kunnen gebruikers verbinding maken met hun PLC uit de Unitronics Vision/Samba-serie, deze opvragen en forensische informatie uit de PLC halen.”

Bovendien heeft Claroty gewaarschuwd dat de overmatige inzet van oplossingen voor externe toegang binnen OT-omgevingen – ergens tussen de vier en zestien – nieuwe beveiligings- en operationele risico’s voor organisaties met zich meebrengt.

“55% van de organisaties heeft vier of meer tools voor externe toegang geïmplementeerd die OT met de buitenwereld verbinden, een zorgelijk percentage van de bedrijven met uitgebreide aanvalsoppervlakken die complex en duur zijn om te beheren”, aldus het rapport.

“Ingenieurs en vermogensbeheerders moeten er actief naar streven om het gebruik van laagbeveiligde tools voor externe toegang in de OT-omgeving te elimineren of te minimaliseren, vooral die met bekende kwetsbaarheden of die zonder essentiële beveiligingsfuncties zoals MFA.”

Thijs Van der Does