石油和天然气公司使用的关键系统中报告的严重缺陷

网络安全研究人员披露了石油和天然气组织使用的系统中一个新漏洞的细节，攻击者可以利用该漏洞注入和执行任意代码。

高严重性问题被追踪为CVE-2022-0902（CVSS评分：8.1），是ABB Totalflow流量计算机和远程控制器中的路径遍历漏洞。

工业安全公司Claroty在与《黑客新闻》分享的一份报告中表示：“攻击者可以利用该漏洞获取ABB流量计算机的根访问权限，读取和写入文件，并远程执行代码”。

瑞典-瑞士工业自动化公司ABB自2022年7月14日起发布了固件更新，随后进行了负责任的披露。

流量计算机是石化制造商使用的专用电子仪器，用于解释流量计的数据，并计算和记录特定时间点的物质体积，如天然气、原油和其他碳氢化合物流体。

这些电子测量不仅在涉及过程安全时至关重要，而且在散装液体或气体产品在各方之间易手时也用作输入，因此必须准确获取流量读数。

简而言之，Claroty发现的漏洞是ABB实现其专有Totalflow TCP协议时存在的路径遍历漏洞，该协议用于远程配置计算机。

具体而言，该问题涉及一个允许导入和导出配置文件的功能，使攻击者能够利用身份验证绕过问题来绕过安全密码屏障并上载任意文件。

通过利用这一缺点，远程恶意行为者可以夺取设备的控制权，并妨碍其正确记录油气流量的能力。

Claroty-研究员Vera Mens表示：“成功利用这一问题可能会阻碍公司向客户收费的能力，迫使服务中断，类似于Colonial Pipeline在2021勒索软件攻击后所遭受的后果”。