В ПО для автозаправок Orpak обнаружены множественные уязвимости

Израильские исследователи кибербезопасности Идо Наор (Ido Naor) и Амихаи Нейдерман (Amihai Neiderman) обнаружили множественные уязвимости в разработанной компанией Orpak Systems автоматизированной системе управления автозаправочными станциями, используемой на тысячах заправок по всему миру. Об этом сообщает издание Motherboard.

Уязвимости позволяют отключить топливные насосы, перехватить платежи и похитить данные кредитных карт клиентов, а также подключиться к сети для управления камерами наблюдения и другими системами. Помимо этого, атакующий может изменить цены на топливо и украсть бензин.

Программное обеспечение SiteOmat от компании Orpak является частью системы ForeSite для коммерческих заправочных станций и системы ForeHB для управления транспортными средствами. Система отслеживает объем топлива, хранящегося в подземных резервуарах, и контролирует в реальном времени температуру и давление в каждом резервуаре. Она также используется для установки цен на топливо и обработки карточных платежей, а также отслеживания объема и типа топлива, закачиваемого в каждое транспортное средство. Система имеет удобный web-интерфейс, позволяющий владельцам нескольких заправочных станций удаленно получать доступ к элементам управления каждой из них.

Однако данная система позволяет легко получить доступ к АЗС не только их владельцам, но и хакерам. Используя поисковик Shodan, исследователи обнаружили несколько тысяч подключенных к интернету уязвимых автозаправок.

Несмотря на то, что web-интерфейс систем Orpak должен быть защищен паролем, на web-сайте компании исследователи обнаружили руководство пользователя, в котором указан пароль по умолчанию. После выявления одной системы в Испании с установленным паролем по умолчанию, они смогли загрузить всю файловую систему с сайта АЗС и проанализировать код.

Одной из первых обнаруженных проблем был бэкдор, встроенный в исходный код Orpak с вшитым именем пользователя и паролем. Он позволяет злоумышленникам удаленно обойти защиту системы и получить доступ к любой бензоколонке независимо от того, изменил ли владелец пароль по умолчанию или нет. Бэкдор предоставляет полный административный доступ к web-панели Orpak, включая возможность изменения цен на топливо и других настроек. Несмотря на то, что система отслеживает изменения цен в журнале, уязвимость переполнения буфера, которую обнаружили эксперты, может позволить злоумышленнику удалить необходимые записи.

Как выяснили эксперты, программное обеспечение Orpak хранит информацию пользователя, такую как логины и пароли, в незашифрованном виде и использует неподписанную и незашифрованную прошивку.

Не все автозаправочные станции под управлением SiteOmat напрямую подключены к Интернету. Некоторые из них используют маршрутизаторы и доступ к ним можно получить только из внутренней сети компании. Однако если компания с несколькими заправочными станциями имеет хотя бы одну систему, подключенную к Интернету, злоумышленник, получивший доступ к этой системе, сможет контролировать все АЗС предприятия.

Исследователи уведомили Orpak об уязвимостях в сентябре 2017 года. Компания отреагировала на сообщение экспертов и заявила о разработке более защищенной версии своей системы. В настоящее время неясно, эксплуатировались ли уязвимости хакерами.

Напомним, ранее сотрудники ФСБ задержали Дениса Заева - создателя и распространителя вредоносного ПО, выявленного на десятках АЗС крупнейших нефтяных компаний. Программа позволяла тайно недоливать клиентам заправок определенный процент топлива, а затем снова продавать его, не отмечая данный факт в отчетности.