Los expertos de Kaspersky Lab encontraron el controlador durante una investigación, no relacionada, a dispositivos con conexiones abiertas a Internet. En muchos casos, el controlador había sido colocado en la estación de combustible hace más de una década y se había conectado a Internet desde entonces.
El controlador, que funciona en una máquina Linux, opera con altos privilegios y los investigadores descubrieron una serie de vulnerabilidades que dejan al dispositivo y los sistemas a los que está conectado indefensos ante un ataque cibernético. Por ejemplo, los investigadores pudieron monitorear y ajustar varias de las configuraciones de la estación de servicio. Un intruso capaz de eludir la pantalla de inicio de sesión y obtener acceso a las interfaces principales podría hacer alguna de estas cosas:
- Apagar todos los sistemas de abastecimiento de combustible
- Cambiar los precios
- Causar fugas de combustible
- Eludir las terminales de pago para robar dinero (el controlador se conecta directamente con la terminal de pago, por lo que se podrían secuestrar las transacciones de pago)
- Borrar las matrículas de los vehículos y la identidad de los conductores
- Ejecutar código en la unidad controladora
- Moverse libremente dentro de la red de estaciones de servicio
"Cuando se trata de dispositivos conectados, es fácil enfocarse en lo nuevo y olvidarse de los productos instalados hace muchos años que podrían dejar el negocio vulnerable a los ataques. El daño que podría hacerse al sabotear una gasolinera es inimaginable. Hemos compartido nuestros hallazgos con el fabricante", dijo Ido Naor, investigador principal de seguridad en Kaspersky Lab.
Las vulnerabilidades también fueron informadas a MITRE y la investigación está en curso.
Kaspersky Lab les recomienda a los fabricantes de dispositivos conectados al Internet de las cosas (IoT) que tengan en cuenta la seguridad de sus productos desde el momento de su desarrollo y diseño, y que revisen los dispositivos legados para detectar posibles vulnerabilidades de seguridad. Se insta a los usuarios de dispositivos conectados a revisar regularmente la seguridad de estos dispositivos y a no confiar en la configuración que traen de fábrica.