De FBI, de Amerikaanse geheime dienst NSA, het Amerikaanse cyberagentschap CISA, twee Amerikaanse ministeries, een toezichthouder en de Transportation Security Administration (TSA) hebben opgeroepen om systemen voor benzineopslagtanks niet direct aan het publieke internet te hangen. Aanleiding voor de oproep is 'kwaadaardige cyberactiviteit' gericht tegen de Automated Tank Gauge (ATG) systemen van Amerikaanse instanties.
ATG-systemen worden gebruikt om de inhoud van benzineopslagtanks te meten, leveringen bij te houden, alarm te slaan in het geval van problemen met de tank of de meter en het uitvoeren van lektesten. Wanneer de apparaten direct vanaf het internet toegankelijk zijn kunnen aanvallers het brandstofniveau zien, informatie en waardes veranderen of zelfs kritieke monitoringparameters aanpassen. Volgens de autoriteiten worden ATG-systemen op grote schaal in de VS gebruikt, onder andere binnen de energie, chemische, voedsel- en landbouw en transportsectoren.
Misbruik van ATG-systemen kan op verschillende manieren plaatsvinden, waaronder het gebruik van hardcoded inloggegevens en SQL Injection, aldus de Amerikaanse overheidsdiensten. Vervolgens kunnen aanvallers systeemwaarschuwingen uitschakelen, instellingen aanpassen en storingen veroorzaken die de opslagtanks permanent kunnen beschadigen. Om dit te voorkomen doen de autoriteiten verschillende aanbevelingen. Zo wordt aangeraden om de seriële poort of andere webinterfaces van ATG-systemen niet direct aan het publieke internet te hangen. In het geval remote toegang toch is vereist wordt het gebruik van een access control list (ACL) of vpn aangeraden.
Verder wordt geadviseerd om alle standaard wachtwoorden meteen te veranderen en voor alle admin-accounts unieke en sterke wachtwoorden te gebruiken. Tevens moeten patches voor ATG-systemen worden geïnstalleerd en zouden organisaties actief hun netwerken op ongeautoriseerde toegang moeten monitoren (pdf). Vorig jaar waarschuwde het Dutch Institute for Vulnerability Disclosure (DIVD) nog dat ATG-systemen het doelwit van aanvallen zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
TISO Cyber Security Officer
Wil jij bijdragen aan een veilige & veerkrachtige leeromgeving voor studenten, medewerkers & partners binnen de #1 Hospitality Business school van Nederland? En werken in een team van toegewijde professionals en dagelijks kunnen genieten van een heerlijke & gezonde lunch? Lees dan hier verder!
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
