Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗ hổng mới trong một hệ thống được sử dụng trong các tổ chức dầu khí có thể bị kẻ tấn công khai thác để đưa và thực thi mã tùy ý.
Sự cố có mức độ nghiêm trọng cao, được theo dõi là CVE-2022-0902 (điểm CVSS: 8.1), là một lỗ hổng truyền qua đường dẫn trong máy tính dòng ABB Totalflow và bộ điều khiển từ xa.
“Kẻ tấn công có thể khai thác lỗ hổng này để giành quyền truy cập root trên máy tính lưu lượng ABB, đọc và ghi tệp cũng như thực thi mã từ xa”, công ty bảo mật công nghiệp Claroty cho biết trong một báo cáo được chia sẻ với The Hacker News.
ABB, một công ty tự động hóa công nghiệp Thụy Điển-Thụy Sĩ, kể từ đó đã phát hành các bản cập nhật chương trình cơ sở kể từ ngày 14 tháng 7 năm 2022, sau khi tiết lộ có trách nhiệm.
Máy tính lưu lượng là công cụ điện tử chuyên dụng được các nhà sản xuất hóa dầu sử dụng để giải thích dữ liệu từ đồng hồ đo lưu lượng và tính toán và ghi lại thể tích của các chất như khí tự nhiên, dầu thô và các chất lỏng hydrocacbon khác tại một thời điểm cụ thể.
Các phép đo khí này rất quan trọng không chỉ khi nói đến an toàn quy trình, mà còn được sử dụng làm đầu vào khi các sản phẩm khí hoặc chất lỏng số lượng lớn trao đổi giữa các bên, khiến cho việc đọc lưu lượng bắt buộc phải được ghi lại một cách chính xác.
Tóm lại, lỗ hổng được Claroty xác định là lỗ hổng truyền qua đường dẫn tồn tại trong việc ABB triển khai giao thức Totalflow TCP độc quyền của họ, được sử dụng để cấu hình máy tính từ xa.
Cụ thể, vấn đề liên quan đến một tính năng cho phép nhập và xuất các tệp cấu hình, cho phép kẻ tấn công lợi dụng vấn đề bỏ qua xác thực để vượt qua hàng rào mật mã bảo mật và tải lên các tệp tùy ý.
Bằng cách tận dụng sự thiếu sót, một tác nhân độc hại từ xa có thể giành quyền kiểm soát các thiết bị và cản trở khả năng ghi lại chính xác tốc độ dòng dầu và khí đốt của chúng.
Nhà nghiên cứu của Claroty, Vera Mens, cho biết: “Việc khai thác thành công vấn đề này có thể cản trở khả năng lập hóa đơn cho khách hàng của công ty, buộc phải gián đoạn dịch vụ, tương tự như hậu quả mà Colonial Pipeline phải gánh chịu sau cuộc tấn công ransomware năm 2021”.
