工业安全公司Claroty的研究人员披露了影响ABB Totalflow计算机和遥控器的漏洞的详细信息。
Totalflow计算机是石化制造商使用的专用电子仪器,用于解释流量计的数据,并计算和记录特定时间点的天然气、原油和其他碳氢化合物流体等物质的体积。
这些关键系统被世界各地的石油和天然气组织广泛使用。该漏洞CVE-2022-0902(CVSS 分数:8.1)是一个路径遍历漏洞,“攻击者可利用该漏洞在ABB流量计算机上获得根访问权限、读写文件,并远程执行代码”。
据Claroty专家称,该漏洞存在于ABB G5产品中Totalflow TCP协议的实施中。
ABB 是一家瑞典-瑞士工业自动化企业,披露后于2022年7月14日发布了固件更新,解决了该漏洞。
研究人员最初发现了一个身份验证绕过问题,然后对系统进行了研究,查看身份验证用户可用的功能,如上传和下载配置文件。
然后,专家们通过请求/etc/shadow文件发现了一个路径遍历漏洞。一旦获得了任意的读写能力,专家们就轻松实现任意的代码执行。
研究人员提到,“成功利用该漏洞可阻止公司支付客户账单的能力,迫使服务中断,类似于2021年Colonial Pipeline遭勒索攻击造成的后果。”
关键基础设施的网络安全情况影响着社会生活的正常运转。随着对网络安全加大重视力度,越来越多的企业除了加强网络安全防御,更是从软件开发时就利用静态代码检测等手段减少系统漏洞,从而在一定程度上降低因系统漏洞被攻击的风险。
来源:
