När bensinmätare blir hackarens leksak & NGINX får tonårsångest

Jag, Tricksie, brukar säga att säkerhetsbrister är som mögel i kylskåpet – de finns alltid där, men du märker dem först när det börjar lukta illavarslande. Den här veckan doftar det extra starkt av två saker: 18 år gamla NGINX-sårbarheter som plötsligt blivit trendiga igen, och iranska hackare som leker med amerikanska bensinstationers tankmätare som om det vore en retro-Frogger-arkadmaskin. ”Vem behöver AAA-spel när man kan manipulera bränslenivåer i realtid?” tänker nog någon i Teheran.

Men skämt åsido – det här är inte bara tekniska nyheter, det är symtom på två kroniska sjukdomar i vår digitala tid:

Vi glömmer att patcha gamla system (tänk dig att köra en 2005 års Volvo utan att någonsin byta olja).
Vi litar på att IoT-enheter är ”smarta nog” – trots att de oftast är lika säkra som en cykellås av papper.

Så låt oss dyka in i varför just det här är viktigt nu, och vad du kan göra åt det (utöver att gråta i serverhallen).

NGINX:s 18-årsfest: När en buffertöversvämning blir en inbjudan till RCE-kalas

Tänk dig att du hittar en 18 år gammal chokladkaka i kylskåpet. Den ser okej ut, men när du tar en bit så inser du att den egentligen är en heap buffer overflow i förklädnad. Så känns det för alla som använder NGINX just nu.

Den här sårbarheten (som funnits sedan 2008) gör att en angripare kan:

Kör godtycklig kod på din server – utan inloggning, tack.
Utnyttja en publik exploit som redan cirkulerar (ja, scriptkiddies kan nu spela med).
Få din webbserver att bete sig som en berusad diskjockey på 90-talsklubb.

🦊 Rävvisdom: Om din NGINX-installation är äldre än din gymnasieexamen, är det dags att uppdatera. Och nej, ”men den har fungerat hittills!” är inte en säkerhetsstrategi – det är ett lotteri.

IoT-tankmätare: När ”smart” betyder ”lätt att lura”

Iranska hackare har upptäckt att amerikanska bensinstationers automatiska tankmätare (ATG) är lika lättillgängliga som en obevakad buffé. Och precis som på en buffé så är det ingen som kollar om du tar för mycket – eller i det här fallet, ändrar på bränslenivåerna.

Problemet? Dessa enheter:

Har ofta inga lösenord (ja, på allvar).
Är direkt anslutna till internet (för att någon tyckte det var ”smart”).
Kan manipulera visningsdata – så operatörer tror allt är normalt medan en läcka sprider sig som en oljefläck.

Det här är inte en ny sårbarhet. Den har dokumenterats sedan 2015. Men som med NGINX-buggen så handlar det om attityd, inte teknik. Vi vet hur vi ska fixa det – vi gör det bara inte.

🦊 Mini-anekdot: För några år sedan hittade jag en IoT-ansluten toastmaskin på Shodan. Den hade admin/admin som inlogg. Jag kunde ha startat en global brödrevolution. Istället skickade jag ett meddelande till tillverkaren: ”Ni borde kanske byta lösenord. PS. Skicka toast.” De svarade aldrig. Toasten blev aldrig min. Säkerheten förlorade.

AI: Intrångsdetekteringens nya sheriff (eller är det en bluff?)

Medan hackare leker med tankmätare och gamla NGINX-servrar, så hyllas AI som cybersäkerhetens frälsare. Och ja, AI kan hjälpa – om vi inte glömmer två saker:

Förklarbarhet: Om din AI säger ”det här är ett intrång” men inte kan förklara varför, då är det lika användbart som en väderprognos från en magisk 8-boll.
Federated Learning: Låter fancy, men handlar egentligen om att träna modeller utan att dela känslig data. Perfekt för IoT-enheter som inte vill bli nästa nyhetsrubrik.

Just nu används AI mest för:

Intrångsdetektering (men vänta tills hackare börjar använda AI för att dölja sina intrång).
Malware-analys (fast AI:n ibland flaggar oskyldiga filer som ”misstänkt” – lika nervös som en ekorre på koffein).
Phishing-upptäckt (även om den ibland missar uppenbara bedrägerier – som den gången min kollega fick ett mail från ”PayPaI” och klickade ändå).

Checklista: Så undviker du att bli nästa säkerhets-anekdot

Här är min 7-stegs-checklista för att inte hamna i nästa nyhetsartikeln om ”katastrofalt dataintrång”:

🔍 Uppdatera NGINX – NU. Om du kör en version äldre än 1.25.3, är du i farozonen. (Ja, även om ”det har fungerat hittills”.)
🔌 Ta bort IoT-enheter från det öppna internet. Om det måste vara anslutet: VPN, brandvägg, något. En obevakad IoT-enhet är som en öppen dörr med en skylt ”Kom in, vi har kaffe!”.
🔑 Aktivera MFA överallt. Ja, även på saker som ”känns onödigt”. Hackare älskar när du tänker ”det här är väl inte viktigt nog för MFA?”.
📡 Segmentera nätverket. Om en hackare tar sig in via din IoT-toastmaskin, ska de inte kunna hoppa vidare till din databas. (Tro mig, jag har sett det hända.)
🤖 Testa din AI-baserade säkerhet. Fråga den varför den flaggar saker. Om svaret är ”för att jag känner det”, behöver du en bättre AI.
📅 Schemalägg regelbundna sårbarhetsscanningar. Gärna med verktyg som letar efter gamla buggar (som den här NGINX-grejen).
📚 Utbilda dina anställda – igen. Den mänskliga faktorn är fortfarande den svagaste länken. (Och nej, ett mail med ”Var försiktig!” räcker inte.)

Nästa steg: Från panik till handling

Nu när du vet att världen är full av 18 år gamla buggar och obevakade bensinmätare, vad gör du?

Prioritera patchning: Börja med system som är exponerade mot internet. (NGINX, IoT, allt som luktar ”gammalt men fungerar”).
Gör en ”IoT-inventering”: Lista alla anslutna enheter. Om du hittar något med standardlösenord – byta det.
Testa din incidenthantering: Kör ett simulerat intrång. Hur lång tid tar det innan ni märker det? Hur lång tid tar det att åtgärda?
Utvärdera din AI-säkerhet: Kan dina system förklara varför de flaggar något? Om inte, är det dags att uppgradera.
Prenumerera på säkerhetsnyheter: Ja, det är tråkigt. Men det är mindre tråkigt än att förklara för din chef varför ni står i The Register.

Och kom ihåg: Säkerhet är inte en engångsgrej. Det är som att borsta tänder – om du slutar, så börjar problemen växa (och lukta).

Nu ska jag gå och kolla om min egen IoT-anslutna kattmatare har något lösenord. (Spoiler: Den har inte det. Mr. Whiskers skulle vara en usel hackare.)

– Tricksie 🦊
Professionell säkerhetsräv & toast-entusiast