信息安全研究人员表示，由于多家厂商的自动液位计 (Automatic Tank Gauge, ATGs) 系统中存在漏洞，导致位于关键基础设施中的数万个燃油储罐易受 0day 攻击。

ATGs 用于监控存储罐中的燃油量并确保存储罐不会泄露。今天披露的这十个CVE漏洞位于多家不同厂商的产品中：多佛燃料解决方案公司 (DFS)、OPW 燃油管理系统（归DFS所有）、Franklin 燃油系统和 OMNTEC。

在这十个漏洞中，其中七个是严重级别。Bitsight 公司表示，这十个漏洞均可导致攻击者获得设备的完全管理员权限。该公司在六个月前发现并将这些漏洞提交给CISA，其中三款缺陷产品仍未收到修复方案。

Bitsight 公司的首席安全科学家 Pedro Umbelino 表示，“该利用可改变一些事情，因此对实际世界会造成影响。”具体而言，易受攻击的 ATGs 可用于造成真实的、物理的和环境的损害。Bitsight 公司在加油站、飞机场、政府系统、制造商和设施企业中都见到了它的身影。

尽管CISA和 Bitsight 在过去的六个月中尝试与厂商一起修复这些漏洞，但 Umbelino 估测易受攻击的设备数量仍然在1200到1500台之间。他表示，“它们都可导致同样的事：访问。因此你可以以设备所有人的身份控制设备，可以控制一切。当你想要利用设备时，就会马上成功。”

这些漏洞如遭利用可造成的物理损害包括更改关键参数如容量等，从而导致存储罐溢出。远程攻击者可修改存储罐设置或禁用告警，从而增加危险泄露的几率，具体取决于所存储的类型。

CISA提到，所有这些漏洞均可遭远程利用且“攻击复杂度较低”。CVE-2024-45066和CVE-2024-43693都是位于 DFS ProGauge Maglink LX 和控制台中的OS命令注入漏洞，它们的CVSS评分为满分。远程攻击者可向控制台的子菜单发送特殊构造的POST请求，注入恶意命令。

研究人员还发现了一个CVSS评分9.8的硬编码凭据漏洞CVE-2024-43423，位于 DFS 的 Maglink LX4设备中。具体而言，该控制台的 web 应用中包括一个管理员权限的用户账户，其密码不可更改。Maglink LX4 也受一个权限提升漏洞CVE-2024-45373的影响，它可导致合法用户将权限修改为管理员，CVSS评分为8.8。Maglink LX 中还存在CVSS评分为9.8的认证绕过漏洞CVE-2024-43692，以及CVSS评分为8.8的XSS漏洞CVE-2024-41725。

Franklin 燃油系统 TS-550 设备中存在一个任意文件读漏洞 (CVE-2024-8497)，CVSS评分为7.5，可被用于获得受影响设备上的管理员访问权限。好在所有存在漏洞的 Maglink 产品以及 Franklin 生产的产品都已有修复方案。厂商督促用户尽快升级至受影响产品的最新版本。另外，CISA和Bitsight 建议将这些关键系统置于防火墙保护之下并与业务网络隔离。确保这些产品以及所有工控设备无法从公开互联网访问。如果需要远程访问，则使用安全的VPN。

这七个CVE漏洞都存在厂商发布的更新，但其它三个并非如此。

OPW 的 SiteSentinel 燃油管理系统中存在一个CVSS评分为9.8的漏洞CVE-2024-8310，可导致攻击者绕过对服务器的认证并获得完整的管理员权限。该漏洞影响 SiteSentinel 17Q.2.1之前版本，不过这些版本已达生命周期。其母公司DFS并未向老旧产品发布任何补丁。厂商建议用户安装防火墙保护设备，并至少升级至17Q.2.1版本。更新版本的用户还应联系DFS确保运行已有修复方案的版本。

同时，OMNTEC和Alisonic Sibylla 两家厂商并未回应CISA提出的协作缓解提议。OMNTEC 生产的 Proteus OEL8000 存储罐监控设备仍然易受一个认证绕过漏洞 CVE-2024-6981的影响，CVSS评分为9.8，不存在修复方案。Alisonic Sibylla 设备易受SQL注入攻击，可导致数据库遭完全访问。CVE-2024-8630的CVSS评分为9.4，也不存在修复方案。

Umbelino 表示，“这些设备和工控系统的挑战总体而言在于打补丁非常难。”他指出通常需要有人物理访问存放设备的设施，之后手动应用修复方案。对于没有缓解措施的设备，他建议断网，这样“应该就不会遭直接暴露”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~