آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

کنترل سیستم نرم‌افزاری جایگاه‌های سوخت؛ مهاجمان به هر شی متصل به اینترنت می‌توانند دسترسی پیدا کنند

عنوانکنترل سیستم نرم‌افزاری جایگاه‌های سوخت؛ مهاجمان به هر شی متصل به اینترنت می‌توانند دسترسی پیدا کنند
گروه اصلیOther
شرح خبر

 

با گسترش حملات مخرب خارج از اهداف سنتی شبکه‌های سازمانی و حملات کاربران خانگی، مجرمان سایبری شروع به حرکت به سمت اهدافی کردند، که به‌طور بالقوه منفعت بیشتری دارند. از سیستم‌های صنعتی و پایگاه‌ داده‌‌‌های مراقبت‌های سلامتی گرفته، تا روترهای خانگی و سایر دستگاه‌های اینترنت اشیاء. به این ترتیب عملاً هر چیزی می‌تواند هدف قرار گیرد، مادامی که به اینترنت متصل باشد.

در سیر تکاملی اخیر، محققان، وجود آسیب‌پذیری‌های جدیدی را، در نرم‌افزار یک پمپ بنزین مشاهده کردند، که به مهاجمین امکان انجام انواع گوناگونی از حملات مخرب را می‌دهد؛ از جمله خاموش‌کردن پمپ‌های سوخت، ربودن پرداخت‌ کارت‌های اعتباری، و به دست گرفتن کنترل سیستم‌های متصل به پمپ بنزین. به‌علاوه، مهاجم به‌طور بالقوه می‌تواند سوخت سرقت کند، یا حتی قیمت آن را تغییر دهد.

این آسیب‌پذیری‌های خاص در SiteOmat پیدا شد، یک سیستم خودکار که توسط Orpak Systems ایجاد شده، و مسوول نظارت بر مقدار گاز ذخیره‌شده در مخازن ایستگاه، دما و فشار مخازن، و همچنین تنظیم قیمت سوخت، و پردازش پرداخت‌های کارتی می‌باشد. به‌علاوه، این سیستم یک واسط کاربری دارد، که به صاحب پمپ بنزین یا مدیر این امکان را می‌دهد، تا تمام شعب خود را، از جنبه‌های مختلف، نظارت و کنترل نماید. در اصل، این سیستم به‌عنوان یک کنترل‌کننده، برای تقریباً تمامی پردازش‌های ضروری عملیات یک پمپ بنزین، عمل می‌کند.

با یک شبیه‌سازی ساده، محققان توانستند بر روی خود وب‌سایت Orpak به کلمه عبور پیش‌فرض واسط کاربر دست یابند. که به آن‌ها اجازه داد تا به یک پمپ بنزین در اسپانیا، که هنوز از کلمه عبور پیش‌فرض استفاده می‌کرد، دسترسی پیدا کنند، و سپس بتوانند سیستم‌فایل آن را برای تجزیه و تحلیل دانلود کنند.

آن‌ها با استفاده از یک نام کاربری و کلمه عبور هاردکد که توسط توسعه‌دهنده تعریف شده و توسط کاربر قابل تغییر نبود، یک راه مخفی در کد منبع Orpak پیدا کردند، که تمامی دسترسی‌های مدیریتی به واسط کاربر را در اختیار کاربران قرار می‌دهد، و به آن‌ها این امکان را می‌دهد تا تنظیمات را تغییر دهند. مهاجمی که از این راه مخفی سوءاستفاده کند، می‌تواند به‌واسطه اقدامات مخربی مانند تغییر مداوم قیمت سوخت، خسارت‌های جدی ایجاد کند. قسمت بدتر ماجرا این است که، این آسیب‌پذیری، با یک آسیب‌پذیری سرریز بافر ترکیب شده، و به مهاجم این امکان را می‌دهد تا تمام لاگ‌ها را حذف کند، در نتیجه اطلاع از تغییر قیمت‌ها، برای صاحبان پمپ بنزین، دشوار می‌شود.

علاوه بر این، محققان تهدیدات امنیتی بالقوه دیگری را در نرم‌افزار شناسایی کردند، مانند دسترسی به اطلاعات کاربر به‌صورت رمزنگاری‌نشده و استفاده از میان‌افزارهای بدون امضا و رمزنگاری.

ترکیب یک پرداخت پر منفعت با پیاده‌سازی نسبتاً ضعیف امنیت، بسیاری از سیستم‌ها را به اهدافی ایده‌آل برای مجرمان سایبری تبدیل می‌کند. خود پمپ بنزین می‌تواند آسیب‌پذیر باشد، چرا که صاحبان و اپراتورها دارای یک پس‌زمینه سنتی هستند، که تأکید چندانی بر امنیت ندارد. بسیاری از این پمپ بنزین‌ها توسط افراد مدیریت می‌شوند، که مسلماً نیروی انسانی و منابع سازمان‌های بزرگ‌تر را، در اختیار ندارند.

در این مورد خاص، هم تولیدکننده نرم‌افزار و هم اپراتور، مسئول امنیت هستند. سازمان‌هایی که سیستم‌های نرم‌افزاری ارائه می‌دهند، باید به‌صورت منظم محصولات خود را برای هر نوع آسیب‌پذیری بحرانی بررسی کنند، و اطمینان حاصل کنند که این آسیب‌پذیری‌ها در سریع‌ترین زمان ممکن رفع شود. آزمون آسیب‌پذیری، فعالیتی است که می‌تواند به ارزیابی اینکه آیا امنیت دستگاه ممکن است از بین برود یا نه، کمک کند. این آزمون، در مواردی مشابه این نمونه، بسیار مهم است، جایی که کالاهای ضروری به‌طور بالقوه در معرض خطر هستند.

از طرف دیگر، صاحبان و اپراتورها می‌توانند اطمینان حاصل کنند که سیستم آن‌ها تا حد ممکن امنیت دارد. تدابیر ساده و مؤثری مانند تغییر کلمه عبور پیش‌فرض در واسط کاربری سیستم کنترل، می‌تواند به کاهش اثرات مخرب حملات علیه سیستم کمک کند.

آدرس اینترنتی خبرhttps://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/gas-station-software-vulnerability-potentially-gives-attackers-control-over-the-system
تاریخ درج خبر1396-12-21
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست