Sono state divulgate vulnerabilità critiche di sicurezza in sei diversi sistemi di Misurazione Automatica del Serbatoio (ATG) di cinque produttori diversi, che potrebbero esporli ad attacchi remoti.
“Queste vulnerabilità [sugli ATG] comportano rischi significativi nel mondo reale, poiché potrebbero essere sfruttate da criminali informatici per causare danni estesi, inclusi danni fisici, pericoli ambientali e perdite economiche“, ha dichiarato Pedro Umbelino, ricercatore di Bitsight, in un rapporto pubblicato la scorsa settimana.
La panoramica sugli attacchi ai sistemi ATG
A peggiorare la situazione, l’analisi ha rilevato che migliaia di sistemi ATG sono esposti a Internet, rendendoli un bersaglio allettante per criminali malintenzionati che cercano di orchestrare attacchi distruttivi contro stazioni di servizio, ospedali, aeroporti, basi militari e altre infrastrutture critiche.
Gli ATG sono sistemi di sensori progettati per monitorare il livello di un serbatoio di stoccaggio (ad esempio, un serbatoio di carburante) nel tempo con l’obiettivo di rilevare perdite e parametri; lo sfruttamento di falle di sicurezza in tali sistemi potrebbe quindi avere conseguenze gravi, tra cui attacchi di negazione del servizio (DoS) e danni fisici.
Le undici vulnerabilità recentemente scoperte interessano sei modelli ATG, ovvero Maglink LX, Maglink LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla e Franklin TS-550. Otto delle undici falle sono classificate come critiche in termini di gravità:
- CVE-2024-45066 (punteggio CVSS: 10.0) – Iniezione di comandi nel sistema operativo in Maglink LX
- CVE-2024-43693 (punteggio CVSS: 10.0) – Iniezione di comandi nel sistema operativo in Maglink LX
- CVE-2024-43423 (punteggio CVSS: 9.8) – Credenziali hardcoded in Maglink LX4
- CVE-2024-8310 (punteggio CVSS: 9.8) – Bypass dell’autenticazione in OPW SiteSentinel
- CVE-2024-6981 (punteggio CVSS: 9.8) – Bypass dell’autenticazione in Proteus OEL8000
- CVE-2024-43692 (punteggio CVSS: 9.8) – Bypass dell’autenticazione in Maglink LX
- CVE-2024-8630 (punteggio CVSS: 9.4) – Iniezione SQL in Alisonic Sibylla
- CVE-2023-41256 (punteggio CVSS: 9.1) – Bypass dell’autenticazione in Maglink LX (duplicato di una vulnerabilità precedentemente segnalata)
- CVE-2024-41725 (punteggio CVSS: 8.8) – Cross-site scripting (XSS) in Maglink LX
- CVE-2024-45373 (punteggio CVSS: 8.8) – Escalation di privilegi in Maglink LX4
- CVE-2024-8497 (punteggio CVSS: 7.5) – Lettura arbitraria di file in Franklin TS-550
“Tutte queste vulnerabilità [sugli ATG] permettono di ottenere privilegi amministrativi completi sull’applicazione del dispositivo e, in alcuni casi, anche l’accesso completo al sistema operativo”, ha affermato Umbelino. “L’attacco più dannoso è far funzionare i dispositivi in un modo che potrebbe causare danni fisici ai loro componenti o ai componenti collegati.”
Non solo ATG: vulnerabilità scoperte in OpenPLC, Riello NetMan 204 e AJCloud
Oltre alle vulnerabilità sgli ATC sono state scoperte anche falle di sicurezza nella soluzione open-source OpenPLC, tra cui un grave bug di overflow del buffer basato sullo stack (CVE-2024-34026, punteggio CVSS: 9.0) che potrebbe essere sfruttato per ottenere l’esecuzione di codice remoto.
“Inviando una richiesta ENIP con un codice comando non supportato, un’intestazione di incapsulazione valida e almeno 500 byte totali, è possibile scrivere oltre il limite del buffer log_msg assegnato e corrompere lo stack“, ha affermato Cisco Talos. “A seconda delle misure di sicurezza attive sull’host in questione, potrebbero essere possibili ulteriori sfruttamenti.”
Un altro gruppo di falle di sicurezza riguarda la scheda di comunicazione di rete Riello NetMan 204 utilizzata nei suoi sistemi di alimentazione ininterrotta (UPS), che potrebbe consentire ai malintenzionati di prendere il controllo dell’UPS e persino di manipolare i dati di log raccolti.
- CVE-2024-8877 – Iniezione SQL in tre endpoint API (/cgi-bin/db_datalog_w.cgi, /cgi-bin/db_eventlog_w.cgi, e /cgi-bin/db_multimetr_w.cgi) che consente la modifica arbitraria dei dati
- CVE-2024-8878 – Reimpostazione della password non autenticata tramite l’endpoint /recoverpassword.html che potrebbe essere sfruttato per ottenere l’ID netmanid dal dispositivo, dal quale è possibile calcolare il codice di recupero per la reimpostazione della password.
“Inserendo il codice di recupero in ‘/recoverpassword.html’, le credenziali di accesso vengono reimpostate a admin:admin“, ha affermato Thomas Weber di CyberDanube, sottolineando che ciò potrebbe consentire all’attaccante di dirottare il dispositivo e spegnerlo.
Entrambe le vulnerabilità non sono ancora state risolte, richiedendo agli utenti di limitare l’accesso ai dispositivi in ambienti critici fino a quando non sarà disponibile una correzione.
Da segnalare inoltre diverse vulnerabilità critiche nella piattaforma di gestione delle telecamere IP AJCloud, che, se sfruttate con successo, potrebbero portare all’esposizione di dati sensibili degli utenti e fornire agli attaccanti il pieno controllo remoto di qualsiasi telecamera connessa al servizio cloud per la smart home.
“Un comando P2P incorporato, che fornisce intenzionalmente accesso in scrittura arbitraria a un file di configurazione chiave, può essere sfruttato per disabilitare permanentemente le telecamere o facilitare l’esecuzione di codice remoto tramite l’attivazione di un overflow del buffer“, ha affermato Elastic Security Labs, dichiarando che i suoi sforzi per contattare l’azienda cinese non hanno avuto successo fino ad oggi.
CISA avverte che, oltre agli attacchiagli ATG, vi sono anche attacchi continui contro le reti OT
Dato che non solo gli ATG sono coinvolti, lo sviluppo arriva mentre la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha segnalato un aumento delle minacce ai sistemi OT e ICS accessibili da Internet, inclusi quelli nel settore dei Sistemi di Acqua e Acque Reflue (WWS).
“I sistemi OT/ICS esposti e vulnerabili potrebbero consentire ai criminali autori di minacce informatiche di utilizzare credenziali predefinite, condurre attacchi a forza bruta o utilizzare altri metodi poco sofisticati per accedere a questi dispositivi e causare danni“, ha dichiarato CISA.
A febbraio, il governo statunitense ha sanzionato sei funzionari associati all’agenzia di intelligence iraniana per attacchi contro entità di infrastrutture critiche negli Stati Uniti e in altri paesi.
Questi attacchi hanno coinvolto il targeting e la compromissione di controllori logici programmabili (PLC) della serie Vision di produzione israeliana Unitronics, esposti pubblicamente su Internet attraverso l’uso di password predefinite.
L’azienda di cybersecurity industriale Claroty ha successivamente reso open-source due strumenti chiamati PCOM2TCP e PCOMClient che consentono agli utenti di estrarre informazioni forensi dagli HMI/PLC integrati con Unitronics.
“PCOM2TCP consente agli utenti di convertire i messaggi seriali PCOM in messaggi TCP PCOM e viceversa“, ha affermato. “Il secondo strumento, chiamato PCOMClient, consente agli utenti di connettersi ai loro PLC Unitronics Vision/Samba, interrogarli ed estrarre informazioni forensi dai PLC.”
Inoltre, Claroty ha avvertito che l’uso eccessivo di soluzioni di accesso remoto negli ambienti OT – tra quattro e sedici – crea nuovi rischi di sicurezza e operativi per le organizzazioni.
“Il 55% delle organizzazioni ha implementato quattro o più strumenti di accesso remoto che collegano l’OT al mondo esterno, una percentuale preoccupante di aziende che hanno superfici di attacco estese, complesse e costose da gestire”, ha osservato l’azienda: “Ingegneri e gestori delle risorse dovrebbero attivamente cercare di eliminare o ridurre al minimo l’uso di strumenti di accesso remoto a bassa sicurezza nell’ambiente OT, specialmente quelli con vulnerabilità note o privi di funzionalità di sicurezza essenziali come l’autenticazione a più fattori (MFA).“
Cosa pensi di questo attacco agli aTG e ad altri