Hacker könnten in einigen Ländern die Spritpreise manipulieren
Aufgrund verschiedener Sicherheitslücken könnten Angreifer in ein weltweit im Einsatz befindliches Treibstoff-Management-System von Tankstellen einbrechen und Unheil anrichten.
(Bild: pixabay)
Mehrere Schwachstellen im Treibstoff-Management-System von Orpak Systems bedrohen Tankstellen in mehreren Ländern. Davor warnen Sicherheitsforscher von Kaspersky. Die Software kommt unter anderem an militärischen Tankstellen in Israel zum Einsatz, um den Missbrauch von Treibstoff vorzubeugen. Doch auch normale Tankstellen setzen weltweit auf das System. Darunter etwa die USA, Spanien und die Türkei. Deutschland taucht in der Auflistung nicht auf.
Neben der Überwachung von Füllständen von Sprittanks wickelt die Software beispielsweise auch Bezahlvorgänge an öffentlichen Tankstellen ab. In dieses System kann man sich unter gewissen Umständen aus der Ferne einloggen, führt Kaspersky aus.
Standard-Passwort + Hintertür = Facepalm
Die Sicherheitsforscher haben eigenen Angaben zufolge mehr als tausend Orpak-Systeme über die Suchmaschine Shodan gefunden, in die sie hätten einsteigen können. Der Zugriff ist zwar über ein Passwort gesichert, doch dabei handelt es sich häufig um das Standard-Kennwort aus den Werkseinstellungen. Dieses steht blöderweise in einer öffentlich zugänglichen Anleitung für das Management-System.
Aber es kommt noch schlimmer: Bei der Analyse des Codes stießen die Sicherheitsforscher auf eine Wartungs-Hintertür mit hartcodierten Zugangsdaten. Darüber könnten Angreifer ihren Untersuchungen zufolge auf jede Orpak-Instanz mit Admin-Rechten zugreifen; selbst wenn ein Betreiber das Standard-Passwort des Webinterfaces geändert hat.
Manipulieren, löschen, spionieren
So könnten Angreifer in derartige Systeme einsteigen, Füllstände und Preise manipulieren und sogar Kreditkarten-Transaktionen hijacken und Bezahldaten mitschneiden. Die Änderung von Spritpreisen soll sogar ohne Admin-Rechte möglich sein, führen die Sicherheitsforscher aus.
Außerdem sollen Angreifer über Sicherheitslücken aus der Ferne Schadocde ausführen und etwa Log-Dateien löschen können. Außerdem liegen im Orpak-System Informationen zu Nummernschildern und Fahrern. Ob es bereits zu Übergriffen gekommen ist, ist derzeit nicht bekannt.
Die Sicherheitsforscher geben an, die Verantwortlichen im September vergangenen Jahres kontaktiert zu haben. Diese sollen eine gehärtete Version zugesichert haben, die es jedoch bis heute nicht gibt. Ein geplantes Treffen der beiden Seiten ist bislang nicht zustande gekommen. Derzeit sichtet die MITRE Corporation die Ergebnisse. (des)
