Уязвимость позволит хакерам вывести из строя тысячи заправок в США

Компания Rapid7, занимающаяся кибербезопасностью, обнаружила уязвимость, воспользовавшись которой хакеры могут вывести из строя около 5300 заправочных станций США.

Как отмечает инженер Джек Чедоуитз (Jack Chadowitz), порядка 115 тысяч заправочных станций в США имеют модули для автоматического контроля за уровнем топлива ATG (automated tank gauge — дословно «автоматизированный датчик бака»), и около 5300 из них могут быть подвергнуты хакерской атаке. Эта информация была выявлена в результате проверки, проведённой компанией Rapid7 10 января: её результаты опубликовали только через полмесяца.

Причиной возникновения подобной проблемы стала уязвимость, которой подвержены некоторые модели ATG: хакеры могут получить к ним доступ через сеть и менять показатели, как им вздумается.

По мнению Чедоуитза, таким образом взломщики не вызовут взрыв или иную катастрофу, но вполне способны остановить работу заправки на значительный срок. Новое топливо в резервуар станции заказывают, ориентируясь на показатели датчиков.

Установив значение на уровень полного бака или снижая его медленнее, чем это происходит в реальности, хакеры могут вынудить владельцев заправки полностью опустошить резервуар и тем самым потерять клиентов во время ожидания новой поставки. С другой стороны, возможна и обратная ситуация, когда топливо при наполнении якобы пустого бака перельётся через край, и сотрудникам станции придётся устранять утечку огнеопасного вещества.

По словам Чедоуитза, в США множество заправок принадлежат частным владельцам, поэтому они чаще всего не забоятся об интернет-безопасности и устанавливают роутеры «пользовательского уровня», взломать которые для хакеров не составляет почти никакого труда.

На самых популярных ATG есть подключение к сети. Доступ к ним защищён шестизначным паролем, однако владельцы заправок редко меняют их и могут хранить в открытых документах.

Как отмечает ArsTechnica, ситуация с заправочными станциями демонстрирует опасность тренда на «интернет вещей», при котором всё больше и больше устройств подключается к сети. В теории это может привести к ситуациям из голливудских фильмов, в которых хакеры взламывают дорожные системы или устраивают техногенные катастрофы, перегрузив реакторы на электростанций.