Investigadores de seguridad cibernética han revelado detalles de una nueva vulnerabilidad en un sistema utilizado en organizaciones de petróleo y gas que podría ser explotada por un atacante para inyectar y ejecutar código arbitrario.
La vulnerabilidad, rastreada como CVE-2022-0902 (puntuación CVSS: 8,1), es una vulnerabilidad transversal en ABB Totalflow computadoras de flujo y controladores remotos.
«Los atacantes pueden explotar esta falla para obtener acceso de raíz en una computadora de flujo ABB, leer y escribir archivos y ejecutar código de forma remota», dijo la empresa de seguridad industrial Claroty. dijo en un informe compartido con The Hacker News.
ABB, una empresa sueco-suiza de automatización industrial, ha lanzado desde entonces actualizaciones de firmware a partir del 14 de julio de 2022, previa divulgación responsable.
Las computadoras de flujo son instrumentos electrónicos de propósito especial utilizados por los fabricantes petroquímicos para interpretar los datos de los medidores de flujo y calcular y registrar el volumen de sustancias como el gas natural, el petróleo crudo y otros fluidos de hidrocarburos en un momento específico.
Estas mediciones de gas son críticas no solo cuando se trata de la seguridad del proceso, sino que también se utilizan como entradas cuando los productos líquidos o gaseosos a granel cambian de manos entre las partes, por lo que es imperativo que las mediciones de flujo se capturen con precisión.
En pocas palabras, la vulnerabilidad identificada por Claroty es una falla de cruce de ruta que existe en la implementación de ABB de su protocolo Totalflow TCP patentado, que se utiliza para configurar las computadoras de forma remota.
El problema, específicamente, se refiere a una función que permite importar y exportar los archivos de configuración, lo que permite a un atacante aprovechar un problema de omisión de autenticación para superar la barrera del código de acceso de seguridad y cargar archivos arbitrarios.
Al aprovechar la deficiencia, un actor malicioso remoto podría tomar el control de los dispositivos y obstaculizar su capacidad para registrar adecuadamente las tasas de flujo de petróleo y gas.
«Una explotación exitosa de este problema podría impedir la capacidad de una empresa para facturar a los clientes, lo que obligaría a una interrupción de los servicios, similar a las consecuencias sufridas por Colonial Pipeline tras su ataque de ransomware de 2021», dijo Vera Mens, investigadora de Claroty.