ABB Totalflow 计算机中严重漏洞影响石油和天然气公司

石油和天然气组织中使用的ABB Totalflow系统中的一个缺陷可被攻击者利用来注入和执行任意代码。

工业安全公司Claroty的研究人员披露了影响ABB Totalflow计算机和遥控器的漏洞的详细信息。

Totalflow计算机是石化制造商使用的专用电子仪器，用于解释流量计的数据，并计算和记录特定时间点的天然气、原油和其他碳氢化合物流体等物质的体积。

这些关键系统被世界各地的石油和天然气组织广泛使用。该漏洞CVE-2022-0902(CVSS 分数：8.1)是一个路径遍历漏洞，“攻击者可利用该漏洞在ABB流量计算机上获得根访问权限、读写文件，并远程执行代码”。

据Claroty专家称，该漏洞存在于ABB G5产品中Totalflow TCP协议的实施中。

ABB 是一家瑞典-瑞士工业自动化企业，披露后于2022年7月14日发布了固件更新，解决了该漏洞。

研究人员最初发现了一个身份验证绕过问题，然后对系统进行了研究，查看身份验证用户可用的功能，如上传和下载配置文件。

然后，专家们通过请求/etc/shadow文件发现了一个路径遍历漏洞。一旦获得了任意的读写能力，专家们就轻松实现任意的代码执行。

研究人员提到，“成功利用该漏洞可阻止公司支付客户账单的能力，迫使服务中断，类似于2021年Colonial Pipeline遭勒索攻击造成的后果。”

关键基础设施的网络安全情况影响着社会生活的正常运转。随着对网络安全加大重视力度，越来越多的企业除了加强网络安全防御，更是从软件开发时就利用静态代码检测等手段减少系统漏洞，从而在一定程度上降低因系统漏洞被攻击的风险。

来源：

https://securityaffairs.co/wordpress/138331/security/abb-totalflow-flaw.html