Siber güvenlik araştırmacıları, petrol ve gaz kuruluşlarında kullanılan ve bir saldırgan tarafından rastgele kod enjekte etmek ve yürütmek için kullanılabilecek yeni bir güvenlik açığının ayrıntılarını açıkladı.
CVE-2022-0902 (CVSS puanı: 8.1) olarak izlenen güvenlik açığı, ABB Totalflow akış bilgisayarlarında ve uzaktan kumandalarda bir yol geçiş güvenlik açığıdır.
Endüstriyel güvenlik şirketi Claroty, The Hacker News ile paylaşılan bir raporda, “Saldırganlar, bir ABB akış bilgisayarında kök erişimi elde etmek, dosyaları okuyup yazmak ve uzaktan kod yürütmek için bu kusurdan yararlanabilir” dedi.
İsveçli-İsviçreli bir endüstriyel otomasyon firması olan ABB, sorumlu açıklamanın ardından 14 Temmuz 2022 itibariyle ürün yazılımı güncellemelerini yayınladı.
Akış bilgisayarları, petrokimya üreticileri tarafından akış ölçerlerden alınan verileri yorumlamak ve belirli bir zamanda doğal gaz, ham petrol ve diğer hidrokarbon sıvıları gibi maddelerin hacmini hesaplamak ve kaydetmek için kullanılan özel amaçlı elektronik aletlerdir.
Bu gaz ölçümleri yalnızca proses güvenliği açısından kritik öneme sahip olmakla kalmaz, aynı zamanda toplu sıvı veya gaz ürünleri taraflar arasında el değiştirdiğinde girdi olarak kullanılır ve bu da akış ölçümlerinin doğru bir şekilde alınmasını zorunlu kılar.
Özetle, Claroty tarafından tanımlanan güvenlik açığı, ABB’nin bilgisayarları uzaktan yapılandırmak için kullanılan tescilli Totalflow TCP protokolünü uygulamasında bulunan bir yol geçiş hatasıdır.
Sorun, özellikle, yapılandırma dosyalarını içe ve dışa aktarmaya izin veren ve bir saldırganın güvenlik geçiş kodu engelini aşmak ve rastgele dosyalar yüklemek için bir kimlik doğrulama atlama sorunundan yararlanmasına olanak tanıyan bir özellikle ilgilidir.
Uzaktaki kötü niyetli bir aktör, eksiklikten yararlanarak cihazların kontrolünü ele geçirebilir ve petrol ve gaz akış oranlarını düzgün bir şekilde kaydetme yeteneklerini engelleyebilir.
Claroty araştırmacısı Vera Mens, “Bu sorunun başarılı bir şekilde kötüye kullanılması, bir şirketin müşterileri faturalandırma yeteneğini engelleyebilir ve 2021 fidye yazılımı saldırısının ardından Colonial Pipeline’ın maruz kaldığı sonuçlara benzer şekilde hizmetlerin kesintiye uğramasına neden olabilir.” Dedi.