聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
ATGs 用于监控存储罐中的燃油量并确保存储罐不会泄露。今天披露的这十个CVE漏洞位于多家不同厂商的产品中:多佛燃料解决方案公司 (DFS)、OPW 燃油管理系统(归DFS所有)、Franklin 燃油系统和 OMNTEC。
在这十个漏洞中,其中七个是严重级别。Bitsight 公司表示,这十个漏洞均可导致攻击者获得设备的完全管理员权限。该公司在六个月前发现并将这些漏洞提交给CISA,其中三款缺陷产品仍未收到修复方案。
Bitsight 公司的首席安全科学家 Pedro Umbelino 表示,“该利用可改变一些事情,因此对实际世界会造成影响。”具体而言,易受攻击的 ATGs 可用于造成真实的、物理的和环境的损害。Bitsight 公司在加油站、飞机场、政府系统、制造商和设施企业中都见到了它的身影。
尽管CISA和 Bitsight 在过去的六个月中尝试与厂商一起修复这些漏洞,但 Umbelino 估测易受攻击的设备数量仍然在1200到1500台之间。他表示,“它们都可导致同样的事:访问。因此你可以以设备所有人的身份控制设备,可以控制一切。当你想要利用设备时,就会马上成功。”
这些漏洞如遭利用可造成的物理损害包括更改关键参数如容量等,从而导致存储罐溢出。远程攻击者可修改存储罐设置或禁用告警,从而增加危险泄露的几率,具体取决于所存储的类型。
CISA提到,所有这些漏洞均可遭远程利用且“攻击复杂度较低”。CVE-2024-45066和CVE-2024-43693都是位于 DFS ProGauge Maglink LX 和控制台中的OS命令注入漏洞,它们的CVSS评分为满分。远程攻击者可向控制台的子菜单发送特殊构造的POST请求,注入恶意命令。
研究人员还发现了一个CVSS评分9.8的硬编码凭据漏洞CVE-2024-43423,位于 DFS 的 Maglink LX4设备中。具体而言,该控制台的 web 应用中包括一个管理员权限的用户账户,其密码不可更改。Maglink LX4 也受一个权限提升漏洞CVE-2024-45373的影响,它可导致合法用户将权限修改为管理员,CVSS评分为8.8。Maglink LX 中还存在CVSS评分为9.8的认证绕过漏洞CVE-2024-43692,以及CVSS评分为8.8的XSS漏洞CVE-2024-41725。
Franklin 燃油系统 TS-550 设备中存在一个任意文件读漏洞 (CVE-2024-8497),CVSS评分为7.5,可被用于获得受影响设备上的管理员访问权限。好在所有存在漏洞的 Maglink 产品以及 Franklin 生产的产品都已有修复方案。厂商督促用户尽快升级至受影响产品的最新版本。另外,CISA和Bitsight 建议将这些关键系统置于防火墙保护之下并与业务网络隔离。确保这些产品以及所有工控设备无法从公开互联网访问。如果需要远程访问,则使用安全的VPN。
这七个CVE漏洞都存在厂商发布的更新,但其它三个并非如此。
OPW 的 SiteSentinel 燃油管理系统中存在一个CVSS评分为9.8的漏洞CVE-2024-8310,可导致攻击者绕过对服务器的认证并获得完整的管理员权限。该漏洞影响 SiteSentinel 17Q.2.1之前版本,不过这些版本已达生命周期。其母公司DFS并未向老旧产品发布任何补丁。厂商建议用户安装防火墙保护设备,并至少升级至17Q.2.1版本。更新版本的用户还应联系DFS确保运行已有修复方案的版本。
同时,OMNTEC和Alisonic Sibylla 两家厂商并未回应CISA提出的协作缓解提议。OMNTEC 生产的 Proteus OEL8000 存储罐监控设备仍然易受一个认证绕过漏洞 CVE-2024-6981的影响,CVSS评分为9.8,不存在修复方案。Alisonic Sibylla 设备易受SQL注入攻击,可导致数据库遭完全访问。CVE-2024-8630的CVSS评分为9.4,也不存在修复方案。
Umbelino 表示,“这些设备和工控系统的挑战总体而言在于打补丁非常难。”他指出通常需要有人物理访问存放设备的设施,之后手动应用修复方案。对于没有缓解措施的设备,他建议断网,这样“应该就不会遭直接暴露”。
https://www.theregister.com/2024/09/24/security_bugs_fuel_storage_tanks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~