Ciberataque a sistemas de monitoramento de combustível
1 de Outubro de 2024

Vulnerabilidades de segurança críticas foram divulgadas em seis diferentes sistemas de Medição Automática de Tanques (Automatic Tank Gauge - ATG) de cinco fabricantes que poderiam expô-los a ataques remotos.

"Essas vulnerabilidades representam riscos significativos no mundo real, pois poderiam ser exploradas por atores maliciosos para causar danos generalizados, incluindo danos físicos, riscos ambientais e perdas econômicas", disse o pesquisador da Bitsight, Pedro Umbelino, em um relatório publicado na semana passada.

Para piorar a situação, a análise encontrou que milhares de ATGs estão expostos na internet, tornando-os um alvo lucrativo para atores maliciosos que procuram promover ataques disruptivos e destrutivos contra postos de gasolina, hospitais, aeroportos, bases militares e outras instalações de infraestrutura crítica.

ATGs são sistemas sensoriais projetados para monitorar o nível de um tanque de armazenamento (por exemplo, tanque de combustível) ao longo do tempo com o objetivo de determinar vazamentos e parâmetros.

A exploração de falhas de segurança em tais sistemas poderia, portanto, ter consequências graves, incluindo negação de serviço (DoS) e danos físicos.

As 11 vulnerabilidades recém-descobertas afetam seis modelos de ATG, nomeadamente Maglink LX, Maglink LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla e Franklin TS-550.

Oito dessas 11 falhas são classificadas como críticas em termos de gravidade:

- CVE-2024-45066 (Pontuação CVSS: 10.0) - Injeção de comando OS em Maglink LX
- CVE-2024-43693 (Pontuação CVSS: 10.0) - Injeção de comando OS em Maglink LX
- CVE-2024-43423 (Pontuação CVSS: 9.8) - Credenciais hard-coded em Maglink LX4
- CVE-2024-8310 (Pontuação CVSS: 9.8) - Bypass de autenticação em OPW SiteSentinel
- CVE-2024-6981 (Pontuação CVSS: 9.8) - Bypass de autenticação em Proteus OEL8000
- CVE-2024-43692 (Pontuação CVSS: 9.8) - Bypass de autenticação em Maglink LX
- CVE-2024-8630 (Pontuação CVSS: 9.4) - Injeção SQL em Alisonic Sibylla
- CVE-2023-41256 (Pontuação CVSS: 9.1) - Bypass de autenticação em Maglink LX (uma duplicata de uma falha previamente divulgada)
- CVE-2024-41725 (Pontuação CVSS: 8.8) - Cross-site scripting (XSS) em Maglink LX
- CVE-2024-45373 (Pontuação CVSS: 8.8) - Escalação de privilégios em Maglink LX4
- CVE-2024-8497 (Pontuação CVSS: 7.5) - Leitura arbitrária de arquivos em Franklin TS-550

"Todas essas vulnerabilidades permitem privilégios de administrador completo da aplicação do dispositivo e, algumas delas, acesso completo ao sistema operacional", disse Umbelino.

O ataque mais danoso é fazer com que os dispositivos funcionem de uma maneira que possa causar danos físicos aos seus componentes ou componentes conectados a ele.

Falhas Descobertas no OpenPLC, Riello NetMan 204 e AJCloud

Falhas de segurança também foram descobertas na solução OpenPLC de código aberto, incluindo um crítico bug de overflow de pilha baseado em stack ( CVE-2024-34026 , Pontuação CVSS: 9.0) que poderia ser explorado para alcançar execução de código remoto.

"Ao enviar uma solicitação ENIP com um código de comando não compatível, um cabeçalho de encapsulamento válido e pelo menos 500 bytes totais, é possível escrever além do limite do buffer log_msg alocado e corromper a pilha", disse a Cisco Talos.

Dependendo das precauções de segurança habilitadas no host em questão, uma exploração adicional poderia ser possível.

Outro conjunto de falhas de segurança diz respeito ao cartão de comunicações de rede Riello NetMan 204 usado em seus sistemas de Fonte de Alimentação Ininterrupta (Uninterruptible Power Supply - UPS) que poderia permitir que atores maliciosos assumissem o controle do UPS e até mesmo adulterassem os dados de log coletados.

- CVE-2024-8877 - Injeção SQL em três pontos finais da API /cgi-bin/db_datalog_w.cgi, /cgi-bin/db_eventlog_w.cgi e /cgi-bin/db_multimetr_w.cgi que permite a modificação arbitrária de dados

- CVE-2024-8878 - Reset de senha não autenticado via o ponto final /recoverpassword.html que poderia ser abusado para obter o netmanid do dispositivo, a partir do qual o código de recuperação para redefinir a senha pode ser calculado

"Inserir o código de recuperação em '/recoverpassword.html' redefine as credenciais de login para admin:admin", disse Thomas Weber da CyberDanube, observando que isso poderia conceder ao atacante a capacidade de sequestrar o dispositivo e desligá-lo.

Ambas as vulnerabilidades permanecem sem correção, necessitando que os usuários limitem o acesso aos dispositivos em ambientes críticos até que uma correção esteja disponível.

Também vale destacar várias vulnerabilidades críticas na plataforma de gerenciamento de câmeras IP AJCloud que, se exploradas com sucesso, poderiam levar à exposição de dados sensíveis do usuário e fornecer aos atacantes controle remoto total de qualquer câmera conectada ao serviço de nuvem doméstica inteligente.

"Um comando P2P embutido, que intencionalmente fornece acesso de escrita arbitrário a um arquivo de configuração chave, pode ser aproveitado para desativar permanentemente as câmeras ou facilitar a execução de código remoto através do acionamento de um overflow de buffer", disse a Elastic Security Labs, afirmando seus esforços para contatar a companhia chinesa sem sucesso até o momento.

A CISA Adverte sobre Ataques Contínuos Contra Redes OT O desenvolvimento acontece enquanto a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (Cybersecurity and Infrastructure Security Agency - CISA) sinalizou ameaças aumentadas a dispositivos de tecnologia operacional (Operational Technology - OT) e sistemas de controle industrial (Industrial Control Systems - ICS) acessíveis pela internet, incluindo aqueles no Setor de Sistemas de Água e Esgoto (Water and Wastewater Systems - WWS).

"Sistemas OT/ICS expostos e vulneráveis podem permitir que atores de ameaças cibernéticas usem credenciais padrão, conduzam ataques de força bruta ou usem outros métodos pouco sofisticados para acessar esses dispositivos e causar danos", disse a CISA.

Em fevereiro deste ano, o governo dos EUA sancionou seis oficiais associados à agência de inteligência iraniana por atacar entidades de infraestrutura crítica nos EUA e em outros países.

Esses ataques envolveram o direcionamento e comprometimento de controladores lógicos programáveis (Programmable Logic Controllers - PLCs) da série Vision da Unitronics, que são expostos publicamente na internet através do uso de senhas padrão.

A empresa de cibersegurança industrial Claroty desde então disponibilizou em código aberto duas ferramentas chamadas PCOM2TCP e PCOMClient que permitem aos usuários extrair informações forenses de HMIs/PLCs integrados da Unitronics.

"PCOM2TCP, permite aos usuários converter mensagens PCOM seriais em mensagens PCOM TCP e vice-versa", disse.

A segunda ferramenta, chamada PCOMClient, permite aos usuários conectar-se ao seu PLC da série Vision/Samba da Unitronics, consultá-lo e extrair informações forenses do PLC. Além disso, a Claroty alertou que a implantação excessiva de soluções de acesso remoto dentro de ambientes OT – em algum lugar entre quatro e 16 – cria novos riscos de segurança e operacionais para as organizações.

"55% das organizações implantaram quatro ou mais ferramentas de acesso remoto que conectam OT ao mundo exterior, uma porcentagem preocupante de empresas que possuem superfícies de ataque expansivas que são complexas e caras de gerenciar", destacou.

Engenheiros e gerentes de ativos devem buscar ativamente eliminar ou minimizar o uso de ferramentas de acesso remoto de baixa segurança no ambiente OT, especialmente aquelas com vulnerabilidades conhecidas ou aquelas que carecem de recursos de segurança essenciais como MFA.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...