909 tank gauge esposti: l'OT delle infrastrutture critiche su Internet
909 misuratori di livello carburante negli USA sono raggiungibili da Internet e CISA dice che gli attaccanti ci stanno già eseguendo comandi. Perché l'OT critico è invisibile all'endpoint security — e cosa lo vede davvero.
Il 5 giugno 2026 la Shadowserver Foundation ha contato 1.061 sistemi automatic tank gauge (ATG) raggiungibili da Internet sulla porta 10001/tcp — 909 negli Stati Uniti — dopo aver scartato gli honeypot che affollano le porte adiacenti 8001 e 9001. Il giorno prima CISA insieme ad altre sette agenzie statunitensi — FBI, NSA, Dipartimento dell'Energia, EPA, TSA, Dipartimento dei Trasporti e USDA — ha pubblicato un avviso congiunto: gli attaccanti sono già dentro alcuni di questi dispositivi, eseguono comandi e ne modificano la configurazione. Non è un'esposizione teorica. È in corso, e il dispositivo al centro della vicenda è una scatola in cui quasi nessuno, nel team di sicurezza, ha mai fatto login.
Quel divario — tra ciò su cui girano i vostri agent endpoint e ciò che impedisce davvero a una cisterna di traboccare — è tutta la storia.
Cosa controlla davvero un automatic tank gauge
Un ATG è il piccolo computer industriale che sta nel retro di una stazione di servizio, di un deposito, di un aeroporto o della sala generatori di un ospedale. Misura livello, volume e temperatura del prodotto nei serbatoi interrati, rileva le perdite e — punto cruciale — pilota uscite fisiche: allarmi di alto e basso livello, sirene, valvole di blocco d'emergenza, ventilazione e, in alcune configurazioni, gli stessi erogatori. È, nelle parole del report di BleepingComputer sulla scansione di Shadowserver, la differenza tra una cisterna che smette di riempirsi e una che trabocca.
L'avviso CISA è insolitamente preciso su cosa significhi una compromissione. Gli attaccanti "compromettono gli ATG esposti su Internet e li manipolano tramite esecuzione remota di comandi", sfruttando difetti di OS command execution e SQL injection per eseguire codice arbitrario, e poi alterano "impostazioni di rete, identificativi di prodotto, dati di volume delle cisterne e controlli delle pompe" — e, nella parte che dovrebbe far rabbrividire qualunque ingegnere della sicurezza, disabilitano gli allarmi di sistema. I settori citati sono energia, chimico, agroalimentare e trasporti. Non sono casi marginali. Sono la spina dorsale dell'approvvigionamento fisico.
Perché l'OT critico è invisibile allo stack di sicurezza
Ecco il meccanismo scomodo. L'industria della sicurezza ha passato un decennio a costruire visibilità su tre assunti: esiste un sistema operativo che controlli, ci puoi installare un agent, e quell'agent invia telemetria a un SIEM. Un ATG li rompe tutti e tre.
- Non controlli il sistema operativo. È una build Linux vincolata al fornitore su un TLS4B, un Maglink LX, un OPW SiteSentinel — consegnata, sigillata e aggiornata secondo l'agenda del vendor, non la tua.
- Non ci installi un agent. Non esiste un EDR per un tank gauge. CrowdStrike, Defender, SentinelOne — nessuno di loro ha un sensore che giri qui.
- Non parla con il tuo SIEM. Per questo dispositivo "fare log" significa una console seriale e un'interfaccia SOAP che non era mai stata pensata per affacciarsi su Internet.
Così lo stack endpoint-centrico è strutturalmente cieco proprio verso gli asset che un regolatore oggi classifica come critici. Il motivo per cui 909 di questi dispositivi sono stati trovati da uno scanner esterno e non dai loro proprietari è che nulla di ciò che i proprietari avevano installato li stava guardando. L'asset non era nella CMDB, la subnet non era nello scope, la porta non era nella regola del firewall. La visibilità si fermava al confine di ciò che poteva ospitare un agent, e il tank gauge vive un hop oltre quel confine.
"Non abbiamo esposizione OT — il nostro SCADA è air-gapped." Allora spiegate i 909 dispositivi sulla porta 10001. L'air-gap è uno schema di architettura, non un fatto misurato. Un manutentore che nel 2019 aveva bisogno di accesso remoto, un modem 4G aggiunto per comodità, una regola NAT mal configurata — e il gap diventa un ponte. L'unico modo per saperlo è guardare il traffico.
Le vulnerabilità sono reali, classificate e vecchie
Non è il panico da una singola CVE. L'esposizione ha una genealogia documentata.
| Fonte | Data | Risultato |
|---|---|---|
| Bitsight TRACE | Divulgata mar 2024, pubblicata set 2024 | 11 vulnerabilità su 6 modelli di 5 fornitori; due bug di OS command injection nel Maglink LX valutati CVSS 10.0; numerosi problemi di authentication bypass e credenziali hardcoded a 9.8 |
| CVE-2025-58428 / ICSA-25-296-03 | Ott 2025 | Command injection nell'interfaccia SOAP del Veeder-Root TLS4B, CVSS 9.4 (v4) / 9.9 (v3.1) — RCE con credenziali valide che dà shell completa sull'host Linux sottostante e movimento laterale nella rete |
| CISA + 7 agenzie | 4 giu 2026 | Manipolazione attiva, in-the-wild, di ATG esposti su Internet tramite esecuzione di comandi |
I ricercatori di Bitsight hanno descritto lo stato finale fisico in termini espliciti: un attaccante può far traboccare una cisterna provocando una perdita ambientale, disabilitare il rilevamento delle perdite, danneggiare i relè portandoli a guasto permanente, o sopprimere gli allarmi su cui un operatore si affida per fermare un riempimento. I modelli colpiti — Maglink LX e LX4, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla, Franklin TS-550 — coprono cinque fornitori, ed è proprio questo il segnale: è una debolezza di categoria, non un singolo prodotto difettoso.
E non è una novità. Funzionari statunitensi sospettano che operatori iraniani siano stati dietro un'ondata di intrusioni in ATG nelle stazioni di servizio americane all'inizio di quest'anno, alterando le letture sui display di dispositivi che in alcuni casi non avevano alcuna password (secondo un report della CNN di maggio 2026; gli investigatori hanno notato che la distribuzione del carburante in sé non è stata interrotta). L'obiettivo di quella campagna non era svuotare una cisterna. Era dimostrare di poter arrivare dentro l'infrastruttura fisica — e gli ATG esposti rendono quella dimostrazione banale.
Per NIS2 è già un asset regolato
Per gli operatori europei l'inquadramento normativo non è più ambiguo. Sotto NIS2, energia (inclusi distribuzione e stoccaggio di carburanti) e trasporti sono soggetti essenziali. Il tank gauge di un deposito di carburante rientra nello scope, e con esso l'obbligo di gestire e notificare gli incidenti che lo riguardano. La stessa logica attraversa DORA per le strutture del settore finanziario e le linee guida ICS settoriali di ENISA e dei CSIRT nazionali. Un auditor che chiede "mostratemi l'inventario degli asset e la copertura di monitoraggio per l'OT" pone una domanda a cui la maggior parte delle organizzazioni non sa rispondere per l'ATG perché — vedi sopra — nulla lo stava osservando.
Il fallimento di compliance qui non è un documento di policy mancante. È una misurazione mancante. Non puoi attestare il monitoraggio di un asset che non hai mai inventariato.
Cosa vede un dispositivo che non può ospitare un agent
Se l'endpoint è irraggiungibile, l'unica superficie di monitoraggio che resta è la rete. Tutto ciò che un attaccante fa a un ATG — la sessione di command injection via SOAP, il riuso delle credenziali, il pivot laterale dall'host Linux compromesso, le scritture di configurazione che disabilitano un allarme — attraversa il traffico. È lì che l'attacco è visibile mentre accade, non in un'immagine forense post-incidente.
È il problema per cui è nato il pilastro AI Traffic Analysis di Zero Hunt. Un modello di deep learning proprietario, addestrato su miliardi di sequenze PCAP, gira sulla GPU dell'appliance a 2.7+ Gbit/s e osserva direttamente il segmento OT — nessun agent sul tank gauge, nessuna callback verso il cloud, nessuna telemetria che lascia il sito. Le sue quattro inference head (traffico sospetto, classificazione malware, identificazione del tipo di attacco, fingerprinting applicativo) segnalano l'anomalia che il tooling endpoint non può vedere: un ASN esterno mai visto prima che apre una sessione SOAP verso un dispositivo che ha sempre e solo parlato con il PC del retro, un pattern di comandi che non corrisponde al polling normale, una connessione laterale improvvisa dal gauge verso la VLAN aziendale. Il dispositivo resta muto e non aggiornabile; la rete attorno diventa il sensore.
Il lato esposizione si chiude dall'altra direzione. Le campagne change-triggered di Zero Hunt trattano un asset diventato raggiungibile da Internet come un evento: quando un ATG, un modem o una regola NAT dimenticata mette la porta 10001 sul perimetro, parte una campagna di validazione completa entro un'ora — trovando il vostro gauge esposto prima che lo trovi Shadowserver, o un operatore iraniano, al posto vostro. Il motore generativo a 10 agenti lo sonda poi come farebbe un attaccante, con una catena di exploit per-target già backtestata nell'AI Gym prima di girare in produzione, e firma ogni finding con una catena di evidenza ECDSA che risponde alla domanda dell'auditor NIS2 con un record verificabile invece di un'assunzione.
909 gauge sono stati trovati da qualcuno che scansionava dall'esterno. Gli operatori che dormiranno tranquilli durante la prossima campagna sono quelli che vedono lo stesso traffico che usa l'attaccante — localmente, in continuo, e senza aspettare che un vendor rilasci un agent che non arriverà mai. Guarda come il modello di traffico e la validazione continua lavorano insieme, oppure parlaci della copertura OT. Per l'inquadramento di settore regolato, la nostra nota sull'evidence gap del ransomware nel manifatturiero affronta la stessa logica NIS2 dal lato della fabbrica.