I ricercatori di Team82 di Claroty hanno individuato una vulnerabilità nei flow computer e nei controller remoti TotalFlow di ABB, importante punto debole nel settore dell’Oil&Gas.
I calcoli di misurazione del flusso, in particolare il flusso di gas, richiedono una notevole quantità di potenza di elaborazione e, quindi, sono spesso calcolati da una CPU a bassa potenza piuttosto che da un microcontrollore.
I computer per la programmazione del flusso (flow computer) sono specializzati proprio nel calcolo del volume e delle portate di gas e petrolio, materie fondamentali per la produzione e la distribuzione di energia elettrica. Queste macchine effettuano misurazioni di liquidi o gas che non solo sono vitali per la sicurezza, ma vengono utilizzate anche come input in altre aree, inclusa la fatturazione, e pertanto richiedono la massima precisione per garantirne l’affidabilità.
Proprio legato alla fatturazione è doveroso citare l‘attacco ransomware subito da Colonial Pipeline, che ha avuto un impatto sui sistemi aziendali e ha costretto la società a interrompere la produzione perché non poteva fatturare ai clienti. L’interruzione del funzionamento dei computer di flusso è un vettore di attacco critico che può impattare sui sistemi IT, ma anche OT. Per questo motivo, Claroty ha deciso di testare la sicurezza di questi dispositivi.
Nello specifico, Team82 si è concentrato sui flow computer di ABB, in quando utilizzati da molte grandi aziende nel settore dell’Oil&Gas a livello globale. I ricercatori Claroty hanno sondato tutte le vulnerabilità che potessero dare ai cyber criminali la possibilità di influenzare le misurazioni, eseguendo da remoto un proprio codice arbitrario.
In questo modo, Team82 è riuscito a individuare una vulnerabilità di attraversamento di directory (CVE-2022-0902) piuttosto grave nei computer di flusso e nei controller remoti TotalFlow di ABB. Sfruttando questo difetto, infatti, i malintenzionati potrebbero essere in grado di ottenere l’accesso come root su un flow computer ABB, leggere e scrivere file ed eseguire codici in remoto. Presa coscienza della pericolosità della situazione, ABB ha subito reso disponibile un aggiornamento del firmware, che risolve la vulnerabilità sulle diverse versioni del prodotto. L’azienda, inoltre, raccomanda una segmentazione della rete come mitigazione.
