I ricercatori del Team82 di Claroty hanno scoperto una vulnerabilità ad alta gravità nei computer di flusso e nei controller remoti TotalFlow del gigante svedese-svizzero di apparecchiature elettriche ABB.
Entrambi i popolari sistemi informatici vengono ampiamente utilizzato dalle principali compagnie petrolifere e del gas in tutto il mondo proprio per monitorare e misurare i flussi di gas immessi nelle reti di distribuzione.
Qualora venisse sfruttata, la vulnerabilità potrebbe consentire a un attaccante di prendere il controllo dei dispositivi e manometterli per falsare la misurazione dei flussi di gas.
Indice degli argomenti
L’impatto della vulnerabilità nel settore Oil&Gas
Il bug, in particolare, interessa i flow computer di ABB, dispositivi che calcolano volumi e limiti di petrolio e gas. I misuratori di portata sono fondamentali per la sicurezza delle strutture critiche, ma svolgono anche un ruolo importante nella fatturazione dei servizi.
La vulnerabilità, censita con codice CVE-2022-0902, ha ottenuto un punteggio CVSS v3 di 8,1 su 10 e impatta, nello specifico, sui dispositivi ABB RMC-100 (Standard), RMC-100-LITE, XIO, XFCG5, XRCG5, uFLOG5 e UDC.
Claroty spiega che i potenziali aggressori possono sfruttare questa vulnerabilità per ottenere l’accesso root a un flow computer ABB, in lettura e scrittura file ed esecuzione di codice da remoto.
I flussometri leggono i dati grezzi dai sensori a essi collegati che misurano il volume di una sostanza in diversi modi, a seconda che venga misurato un gas o un liquido.
Lo sfruttamento della vulnerabilità consente a un utente malintenzionato di prendere il controllo sui computer di questo dispositivo e violare da remoto la loro accuratezza nella misurazione del valore di un parametro, il che influenzerà direttamente gli accordi finanziari e il servizio clienti (per la fatturazione finale dei consumi).
L’interruzione del flussometro è un sottile vettore di attacco che può avere un impatto simile non solo sui sistemi IT (Information Technology), ma anche sui sistemi OT (Operational Technology), come è avvenuto per esempio l’anno scorso con l’incidente di Colonial Pipeline.
Un rappresentante di ABB ha confermato che l’azienda è a conoscenza delle segnalazioni individuali collegate alla vulnerabilità nelle versioni del dispositivo flussometro elencate nel bollettino del 14 luglio 2022.
Per la mitigazione c’è l’aggiornamento
Assume dunque un ruolo fondamentale l’applicazione degli aggiornamenti per la risoluzione dei problemi di sicurezza, come questo che impatta su strutture critiche.
Infatti la vulnerabilità è stata recentemente risolta con un aggiornamento proposto da ABB. Inoltre, non bisogna sottovalutare la mitigazione che può essere ottenuta anche mediante un’adeguata segmentazione della rete.
“Per mitigare questa vulnerabilità, il dispositivo ABB dovrebbe essere collegato solo a un segmento di rete che limita l’accesso agli utenti autorizzati”, si legge nella nota tecnica di ABB. “La vulnerabilità è esposta solo quando l’attaccante ha accesso alla rete in cui il dispositivo ABB esegue il protocollo Totalflow TCP”.
I calcoli di misurazione del flusso, in particolare il flusso di gas, richiedono una notevole quantità di potenza di elaborazione e, quindi, sono spesso calcolati da una CPU a bassa potenza piuttosto che da un microcontrollore.
Proprio per evitare grossi impatti lato fatturazione finale, questi computer sono da considerarsi estremamente sensibili soprattutto alla luce dell’attuale situazione internazionale, che vede l’energia e gli approvvigionamenti di gas e petrolio al primo posto rispetto alle priorità di un Paese.
E per questo, quindi, da tenere aggiornati e segmentati rispetto alla rete dell’infrastruttura organizzativa.
