Kaspersky Lab: Vulnerabilidades detectadas en gasolineras que las dejan accesibles para ciberdelincuentes

Los investigadores de Kaspersky Lab han ayudado a descubrir una serie de vulnerabilidades desconocidas que han dejado a las estaciones de servicio en todo el mundo expuestas a una toma de control a distancia, incluso durante años. Las vulnerabilidades se encontraron en un controlador de estación de servicio de gasolina embebido, del cual existen más de 1,000 unidades instaladas y en línea. El fabricante fue notificado cuando se confirmó la amenaza.

Los expertos de Kaspersky Lab encontraron el controlador durante una investigación, no relacionada, a dispositivos con conexiones abiertas a Internet. En muchos casos, el controlador había sido colocado en la estación de combustible hace más de una década y se había conectado a Internet desde entonces.

El controlador, que funciona en una máquina Linux, opera con altos privilegios y los investigadores descubrieron una serie de vulnerabilidades que dejan al dispositivo y los sistemas a los que está conectado indefensos ante un ataque cibernético. Por ejemplo, los investigadores pudieron monitorear y ajustar varias de las configuraciones de la estación de servicio. Un intruso capaz de eludir la pantalla de inicio de sesión y obtener acceso a las interfaces principales podría hacer alguna de estas cosas:

– Apagar todos los sistemas de abastecimiento de combustible
– Cambiar los precios
– Causar fugas de combustible
– Eludir las terminales de pago para robar dinero (el controlador se conecta directamente con la terminal de pago, por lo que se podrían secuestrar las transacciones de pago)
– Borrar las matrículas de los vehículos y la identidad de los conductores
– Ejecutar código en la unidad controladora
– Moverse libremente dentro de la red de estaciones de servicio

“Cuando se trata de dispositivos conectados, es fácil enfocarse en lo nuevo y olvidarse de los productos instalados hace muchos años que podrían dejar el negocio vulnerable a los ataques. El daño que podría hacerse al sabotear una gasolinera es inimaginable. Hemos compartido nuestros hallazgos con el fabricante”, dijo Ido Naor, investigador principal de seguridad en Kaspersky Lab.

Las vulnerabilidades también fueron informadas a MITRE y la investigación está en curso.

Kaspersky Lab les recomienda a los fabricantes de dispositivos conectados al Internet de las cosas (IoT) que tengan en cuenta la seguridad de sus productos desde el momento de su desarrollo y diseño, y que revisen los dispositivos legados para detectar posibles vulnerabilidades de seguridad. Se insta a los usuarios de dispositivos conectados a revisar regularmente la seguridad de estos dispositivos y a no confiar en la configuración que traen de fábrica.

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.