一家德國的油罐測量系統(tǒng)制造商的部分產(chǎn)品存在嚴(yán)重漏洞，黑客易訪問基于web的配置界面。

據(jù)外媒報道，Tecson/GOK的油罐監(jiān)控設(shè)備中存在一個嚴(yán)重的漏洞，供應(yīng)商已經(jīng)發(fā)布了補(bǔ)丁，并指出受影響的設(shè)備不足1000臺。Tecson是一家德國的油罐測量系統(tǒng)制造商，產(chǎn)品有油罐顯示器、液位探頭和遠(yuǎn)程監(jiān)控等。

安全研究員Maxim Rupp發(fā)現(xiàn)，一些Tecson設(shè)備受到一個漏洞的影響，該漏洞允許攻擊者在不需要憑證的情況下訪問基于web的配置界面。攻擊者只需要知道web服務(wù)器上的特定URL和有效請求的格式，就可以訪問配置接口并查看和修改設(shè)置。黑客可完全訪問設(shè)備的基于web的配置界面，如密碼、報警參數(shù)和輸出狀態(tài)等設(shè)置。這可能會對設(shè)備的運(yùn)行產(chǎn)生負(fù)面影響，有助于黑客進(jìn)一步攻擊工業(yè)控制過程。

漏洞為CVE-2019-12254，CVSS評分9.8，影響LX-Net、LX-Q-Net、e-litro net、SmartBox4 LAN和SmartBox4 pro LAN油罐監(jiān)控產(chǎn)品。固件版本6.3解決了這個安全漏洞，另外，可以通過禁用端口轉(zhuǎn)發(fā)和遠(yuǎn)程訪問設(shè)備來防止攻擊。

Rupp表示，在得知漏洞存在后，供應(yīng)商花了大約一個月時間修復(fù)了該漏洞。雖然有一些設(shè)備暴露在互聯(lián)網(wǎng)上，但這些系統(tǒng)通常只能通過本地網(wǎng)絡(luò)訪問。Tecson表示，受影響的產(chǎn)品主要部署在德國，奧地利和比利時的組織使用率不到5%。