Выявлена опасная уязвимость в ПО автозаправочных станций

Израильские исследователи обнаружили серьезную уязвимость в ПО SiteOmat, выпускаемом компанией Orpak System. SiteOmat позиционируется как комплексное решение для управления системами автозаправочных станций – от топливных колонок и терминалов оплаты до камер наблюдения. Такой подход, разумеется, удобен для владельцев АЗС, а потому SiteOmat пользуется популярностью: по данным самой компании Orpak System, ее ПО установлено на более чем 35 тысячах заправочных станций в разных странах мира.

Однако теперь у владельцев и управляющих этих станций есть серьезный повод для беспокойства. Как выяснили исследователи, исходный код программы содержит уязвимость, позволяющую злоумышленникам получить административный уровень доступа к системе. Таким образом, хакерам не составит труда дистанционно отключать топливные колонки, выводить из строя камеры наблюдения или менять цену на топливо, а затем полностью удалять следы своего вмешательства. Разумеется, для осуществления такой атаки необходимо, чтобы системы АЗС имели доступ к интернету. Но даже беглый поиск с помощью поисковой системы Shodan (индексирующей подключенные к сети устройства интернета вещей) позволил исследователям обнаружить несколько тысяч уязвимых АЗС, использующих ПО SiteOmat.

Исследователи уведомили Orpak System о своей находке еще в сентябре прошлого года. Компании потребовался примерно месяц на то, чтобы ответить, что она работает над выпуском обновления, которое ликвидирует проблему. К сожалению, до настоящего времени это обновление так и не выпущено.