加油站软件曝重大安全漏洞，允许黑客任意修改燃油价格

加油站每年都会因为燃油欺诈而损失超过数百万美元，这通常来自于盗窃者使用偷来的信用卡或者借记卡加油，而最终导致加油站不得不进行退款。

但是，来自以色列的两名安全研究人员发现，一个用于控制世界各地数千个加油站燃油价格和其他信息的自动化系统中存在多个安全漏洞。为此，位于美国以及其他一些地方的加油站所有者可能不得不担心新的欺诈行为。

这些漏洞允许攻击者关闭燃油泵、劫持信用卡付款、窃取卡号以及访问后端网络，以控制连接到加油站或便利店网络的监控摄像机和其他系统。值得注意的是，攻击者同时也可以轻易地修改燃油价格以及窃取天燃气和汽油。

漏洞由卡巴斯基实验室的高级安全研究员Ido Naor和安全公司Azimuth Security的前安全研究员Amihai Neiderman在去年6月份发现。受影响的系统属于一家名叫Orpak Systems的以色列公司，该公司生产燃油管理软件。这个系统被以色列的商业加油站、军方和大型企业用来跟踪他们车队的燃油消耗，以确保雇员或者士兵不会擅自使用“公款燃油消费额度”来给自己的私人车辆加油。

根据Orpak System的营销文献，同时生产RFID车辆追踪系统和燃油管理系统的Orpak公司不仅在以色列销售其系统，其软件也安装在分布于60多个国家的3.5万多个加油站和700万辆汽车上。而在去年，Orpak System被北卡罗来纳州的一家大型燃气泵制造商Gilbarco Veeder-Root收购，该公司将系统的销售拓展到了位于美国和其他一些地方的加油站便利店。

这些漏洞位于该公司的SiteOmat自动化软件中，该软件是用于商业加油站的ForeSite系统的一部分，另外还被用于管理车队车辆的ForeHB系统。

SiteOmat可以实时追踪储存在地下储罐中的燃油量，并监测每个储罐的温度和压力。它还用于设置商用加油机的燃油价格和费用支付，以及追踪哪些员工正在抽取燃油、每辆车需要输入何种燃油和多少燃油，以及整个费用支付过程。

它具有方便的网页管理界面，因此，一个或多个加油站的所有者可以远程访问每个站点的控制。

“如果你有一个连接不同的加油站的网络，管理人员可以登录到不同的燃油泵，查看燃油容量使用情况、更新价格，并查看每个泵每天、每月、每周能赚多少钱。”Neiderman在接受采访时说。

但是，对于加油站的所有者来说，自己的轻松访问也可能会变成“黑客的轻松访问”。使用Shodan搜索引擎，研究人员查找出了大量在线暴露的Orpak系统，并以此找到了数千个易受攻击的加油站。

虽然，SiteOmat的网页管理界面原本应该是受密码保护的，但研究人员在Orpak的网站上发现了一个包含默认密码的用户手册。在西班牙找到一个没有修改默认密码的系统后，他们可以从加油站的站点下载整个文件系统并分析SiteOmat代码。

他们发现的第一个漏洞是嵌入在SiteOmat源代码中的后门，带有硬编码的用户名和密码。这将允许远程黑客绕过系统的前端密码保护，并访问任何Orpak加油站，无论加油站所有者是否更改了默认密码。后门提供了对SiteOmat网页管理界面的全面管理访问，包括修改燃油价格和其他设置的权限。

研究人员强调，SiteOmat实际上并不需要管理权限来修改燃油价格，任何有权限访问系统的人都可以在没有授权的情况下对燃油价格进行修改。另外，尽管系统跟踪日志会记录价格的变化，但他们发现的缓冲区溢出漏洞使得攻击者能够控制系统并删除所有日志。

在测试中，Neiderman和Naor能够在一台加油机上将每升燃气的价格从6.54ILS（以色列新锡克尔）远程修改为6.66ILS。Neiderman写了一个脚本来自动修改价格，并可以通过使用手机来触发。

他们还发现，SiteOmat以非加密格式存储用户信息，如用户名和密码，并使用未签名和未加密的固件，这意味着攻击者可以使用受感染的SiteOmat软件来覆盖合法版本。

应该强调的是，并不是所有的加油站SiteOmat软件都直接连接到互联网。有些受到路由器的保护，只能在公司的内部网络上访问。但是，即使一家拥有多个加油站的公司只有一个系统连接到互联网，攻击者同样可以通过访问那个系统来控制其他没有连接到互联网的系统，例如业务系统和监控摄像头。

研究人员去年9月份联系了Orpak System，并且在一个月之后收到了一份回复，称该公司正在分发一个升级版的系统，但事实上并没有解决实际问题。得知研究人员计划在11月份于莫斯科举行的一个安全会议上讨论他们的发现后，该公司要求与研究人员进行面对面的会议，但这个会议最终并没有付诸实施。

Orpak System的新母公司Gilbarco Veeder-Root也没有就此事发表的见。Orpak System战略和营销副总裁Aviv Tal表示，不会回答有关研究人员发现的具体漏洞是否已经修复的问题。

他在电子邮件中写道：“Orpak的首要任务是确保客户的安全，我们非常重视可能影响我们行业的不断增长的网络风险。当被通知潜在的安全风险时，我们会采取措施解决潜在的漏洞问题，联系我们的客户，并继续需要及时处理任何问题，以保护我们的客户。”

目前，尚不清楚是否有人已经利用好SiteOmat的漏洞来窃取燃油或以较低的价格获得了这些漏洞，但俄罗斯最近发生的一起案例说明了这种漏洞对盗贼者有多大的价值。

根据上周俄罗斯媒体Rosbalt发表的一则新闻报道，俄罗斯联邦安全局（Federal Security Service，简称FSB）最近发现了一个涉及俄罗斯黑客和几个加油站管理者的诈骗活动，他们通过恶意软件从中获利超过数十亿卢布。

Orpak 于2016年在莫斯科成立了子公司，不过目前还不清楚发生在俄罗斯的这一诈骗活动是否涉及Orpak的系统或其他自动化气体管理系统。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。