Introdução

No mês de novembro de 2018, nós do Data anunciamos uma pesquisa que havíamos fazendo à alguns meses sobre medidores de combustível conectados à internet mas não publicamos nenhum artigo mostrando isso mais detalhadamente, apenas reportamos para alguns sites que fizeram um post publicando um resumo da nossa pesquisa. Esse artigo visa mostrar como chegamos à tal conclusão, ferramentas utilizadas, como os sistemas funcionam e prejuízos que um ataque pode causar.

Alguns anos antes de pensarmos em fazer isso, pesquisadores da Trend Micro e da Rapid7 já estavam com a mão na massa. Em 2015, HD Moore, chefe de pesquisa da Rapid7, reportou que esses sistemas se encontravam online e totalmente livres para qualquer um acessar, sem nenhum tipo de firewall ou credencial. No ano da publicação do artigo que mostrava a pesquisa de HD Moore, cerca de 5 000 postos de combustíveis com medidores da fabricante Veeder-Root estavam onlines e prontos para serem acessados.

Automatic Tank Gauge

Antes de falarmos do Brasil, vamos ver do que se trata esses medidores. Os medidores, também chamados de Automatic Tank Gauge (ATG), são responsáveis por detectar vazamentos e outros problemas que podem ocorrer com o tanque de combustível. Eles são comumente encontrados na porta 10001 mas podem ser encontradas em outras, isso depende da configuração.

Brasil

No Brasil a situação é um pouco menos preocupante devido ao pequeno número de dispositivos conectados. Depois de alguns dias de pesquisas, conseguimos identificar cerca de 1000 dispositivos conectados, grande parte na região sudeste.

Se um atacante conseguir executar um ataque bem-sucedido, ele pode desligar os alarmes, reinicializar e interromper o sistema. Realizamos um simples ataque mudando os nomes das bombas (imagem abaixo) mas se pensar um pouco além, o atacante pode até mesmo impedir o uso do tanque mas isso é para outro artigo. Nós criamos um crawler que captura IPs de ATGs pelo shodan, você pode acessar clicando aqui.

Mitigação

A melhor solução é evitar expor esses dispositivos na internet mas caso insista é importante usar um gateway de VPN, filtrar endereços de ip e claro, adicionar senhas.

Conclusão

Essa pesquisa apenas confirma o que vimos alertando. A infraestrutura critica e dispositivos IOT estão cada vez mais presentes e consequentemente mais vulneráveis, é importante sempre manter os sistemas atualizados e trocar as senhas default por senhas fortes e se possível fazer um filtro de ip.

Referências:

Rapid7