La Team82 de Claroty vient de divulguer des détails sur une vulnérabilité de type path-traversal dans les calculateurs et contrôleurs de débit ABB TotalFlow.

Un attaquant pourrait exploiter un système vulnérable pour injecter et exécuter du code arbitraire.

CVE-2022-0902 (CVSS v3 : 8.1) a été corrigée dans une mise à jour du firmware.

Les produits concernés sont les suivants :

ABB’s RMC-100 (Standard)
RMC-100-LITE
XIO
XFCG5
XRCG5
uFLOG5
Les produits UDC.

L’avis de sécurité d’ABB peut être consulté ici.

Pour aller plus loin…
Les calculateurs de débit sont des ordinateurs spécialisés qui calculent le volume et le débit du pétrole et du gaz qui sont essentiels à la fabrication et à la distribution de l’énergie électrique. Ces machines prennent des mesures de liquide ou de gaz qui sont non seulement vitales pour la sécurité du processus, mais qui sont également utilisées comme entrées par d’autres processus - alarmes, journaux, configurations - et qui nécessitent donc une précision pour garantir la fiabilité. Ces capacités sont décrites dans le rapport AGA n° 9 de l’American Gas Association.

Un autre aspect important du rôle des calculateurs de flux au sein d’un service public est la facturation. L’incident de sécurité le plus remarquable et le plus connexe a été l’attaque par ransomware contre Colonial Pipeline, qui a eu des répercussions sur les systèmes d’entreprise et a obligé la société à arrêter sa production parce qu’elle ne pouvait pas facturer ses clients. L’interruption du fonctionnement des calculateurs de débit est un vecteur d’attaque subtil qui pourrait avoir un impact similaire non seulement sur les systèmes informatiques, mais aussi sur les systèmes d’exploitation, ce qui nous a amenés à étudier la sécurité de ces machines.

La Team82 s’est concentrée sur les calculateurs de débit d’ABB en raison de leur utilisation dans de nombreuses grandes compagnies pétrolières et gazières du monde entier. Elle a recherché des vulnérabilités qui pourraient donner à un attaquant la possibilité d’influencer les mesures en exécutant à distance le code de son choix sur l’appareil.

En conséquence, Team82 a découvert une vulnérabilité de haute gravité de type path-traversal (CVE-2022-0902) dans les calculateurs de débit et les contrôleurs à distance TotalFlow d’ABB. Les attaquants peuvent exploiter cette faille pour obtenir un accès root sur un ordinateur de flux ABB, lire et écrire des fichiers, et exécuter du code à distance.

ABB a mis à disposition une mise à jour du micrologiciel qui résout la vulnérabilité dans un certain nombre de versions du produit ; elle recommande également la segmentation du réseau comme mesure d’atténuation. De plus amples informations, y compris les versions de produits concernées, sont disponibles dans l’avis d’ABB.