工控安全

加油站实时监测设备的一次全球统计报告(Tank Gauges Vulnerability Global Census Report)

概述

在1月22日Rapid7博客发布了一份关于加油站液位仪(ATG,油罐液位仪,一种储油罐的监测设备)的研究及统计报告,并在报告中指出全球有高达5800多站点的设备接入了互联网,其中5300多位于美国,仪表主要供应商为维德路特(Vedeer-Root),仪表设备经由串转网(串口转以太网)的方式接入互联网(主要用于运营商远程监控数据),因为设备协议上没有认证,攻击者可以轻易通过网络更改仪表的门限和阀值、产生警报等引起安全事故。
下图是一个加油站监测的系统结构图:
station_system
注:图片来自百度文库(罐实时监测与管理系统的设计与实现

关于扫描识别

Rapid7博客的研究报告中指出了ATGs的完成远程监控通讯服务大多使用串转网方式接入到网络,服务一般运行在TCP/IP的10001端口,另外根据Vedeer-Root官方的串口协议文档和kachoolie创建的漏洞检测页面,那么不难构造一个通用的识别扫描脚本,这里识别获取系统的详细信息可以使用官方文档中提到的201命令码(Function Code: 201),即获取当前罐内用量的状态报告(Function Type: In-Tank Inventory Report)。如下图为构造的NMAP NSE识别脚本获取到的站的详细情况,有意是的是在回复的状态中,包含了当前加油站的详细地址、时间、油用量等。
atgs-enumerate

扫描情况简介

本次的扫描探测为全网IPv4地址,扫描时间在1月23日,根据特征扫描识别到符合官方协议回复的数据有5523条,能获取到详细状态信息(地址、用量)的数据有4488条,其中美国依然存活4103条,与Rapid7 Project Sonar 1月早些时候的5300条,已经出现了明显的衰减,或者已经引起了供应商的关注,当然也不排除扫描时网络出现的延时和因为需要等待完整收包(response分多次)等出现的误差。

全网扫描统计(2015/01/23)

统计数据Top10(命中站详细信息的数据)

美国 4103
西班牙 112
加拿大 33
德国 29
意大利 25
法国 20
斯洛文尼亚 13
开曼群岛 11
新西兰 10
爱尔兰 10

图形化统计分布如下图:
Veeder_Root_ATGs_ICSMAP_2015_01_23

后记

值得庆幸的是首轮扫描中,并没有发现能获取到详细用量信息的中国加油站ATG暴露在公网,但是依然有几十条数据的response符合协议要求,初步判断为可能为串转网的设备接口。
Vedeer-Root的TLS监控系统使用文档中包含了大量的针对监测仪表的大量串口调试命令,可能碍于影响,目前Vedeer-Root官方已经从网站下载中删除了该文档。

新闻跟踪

网络攻击可能会关闭美国的加油站
Internet attack could shut down US gas stations
数千美国加油站暴露在网络攻击中
Thousands of U.S. gas stations exposed to Internet attacks

Hack For Fun

hack_for_fun

About Z-0ne

Leave a Reply

Your email address will not be published. Required fields are marked *

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据