ABB Totalflow 計算機中嚴重漏洞影響石油和天然氣公司

工業安全公司Claroty的研究人員披露了影響ABB Totalflow計算機和遙控器的漏洞的詳細資訊。

Totalflow計算機是石化製造商使用的專用電子儀器，用於解釋流量計的資料，並計算和記錄特定時間點的天然氣、原油和其他碳氫化合物流體等物質的體積。

這些關鍵系統被世界各地的石油和天然氣組織廣泛使用。該漏洞CVE-2022-0902(CVSS 分數：8.1)是一個路徑遍歷漏洞，“攻擊者可利用該漏洞在ABB流量計算機上獲得根訪問許可權、讀寫檔案，並遠端執行程式碼”。

據Claroty專家稱，該漏洞存在於ABB G5產品中Totalflow TCP協議的實施中。

ABB 是一家瑞典-瑞士工業自動化企業，披露後於2022年7月14日釋出了韌體更新，解決了該漏洞。

研究人員最初發現了一個身份驗證繞過問題，然後對系統進行了研究，檢視身份驗證使用者可用的功能，如上傳和下載配置檔案。

然後，專家們透過請求/etc/shadow檔案發現了一個路徑遍歷漏洞。一旦獲得了任意的讀寫能力，專家們就輕鬆實現任意的程式碼執行。

研究人員提到，“成功利用該漏洞可阻止公司支付客戶賬單的能力，迫使服務中斷，類似於2021年Colonial Pipeline遭勒索攻擊造成的後果。”

關鍵基礎設施的網路安全情況影響著社會生活的正常運轉。隨著對網路安全加大重視力度，越來越多的企業除了加強網路安全防禦，更是從軟體開發時就利用靜態程式碼檢測等手段減少系統漏洞，從而在一定程度上降低因系統漏洞被攻擊的風險。

來源：

https://securityaffairs.co/wordpress/138331/security/abb-totalflow-flaw.html