【安全资讯】自动化油罐计量系统严重漏洞威胁全球基础设施

概要：

近期，Bitsight的安全研究人员披露了自动化油罐计量（ATG）系统中的严重漏洞，这些系统是全球关键设施中用于监测油罐燃料水平的基本组件。这些漏洞不仅威胁到加油站、机场和军事基地的燃料供应完整性，还可能引发环境灾难和数据泄露。

主要内容：

ATG系统旨在精确跟踪燃料水平，防止溢流并确保燃料在重要设施中的无缝运行。然而，新发现的漏洞使恶意行为者可以不受限制地访问这些系统，从而操控其操作，可能引发灾难性事件。尽管早有警告，数千个ATG系统仍保持联网，成为网络攻击的容易目标。

根据Umbelino与美国网络安全和基础设施安全局（CISA）及制造商的合作，共发现了六种不同的ATG系统中的十一处漏洞。虽然一些公司已经发布了更新，但仍有公司忽视这个问题，因而危及生命。漏洞包括操作系统命令注入、硬编码凭证、身份验证绕过、SQL注入、跨站脚本攻击、权限提升和任意文件读取。

专家强烈建议即使补丁实施后，也必须将设备从公共互联网中断开连接。大多数ATG系统最初并未设计用于网络连接，这导致了这些漏洞的暴露。实际断开互联网连接是唯一可靠的解决方案。ATG漏洞不仅使攻击者能够在现场操控操作流程，还可能造成严重事故和设备损坏。例如，修改油罐的最大容量参数或禁用警报可能导致无法控制的燃料泄漏。

ATG系统通常与其他重要组件相互连接，如警报和通风系统。对这些元素的控制为大规模攻击打开了通道，可能带来灾难性的后果。国家支持的黑客对关键基础设施的攻击不断升级，近年这种网络攻击显著增加，ATG系统可能成为对手的下一个目标。