US-CERT は、近くの攻撃者が無線で機器を乗っ取る可能性があるセキュリティバグが公開されたことを受けて、テレクレーンの建設用クレーンの一部の顧客に対し、制御システムにパッチを適用するよう勧告している。
政府の安全保障機関は今週、建設作業員が地上から遠隔で建設用クレーンを操作することを可能にするTelecrane F25シリーズのコントローラーに存在する脆弱性、CVE-2018-17935に関する警告を発した。
F25のソフトウェアにはキャプチャー・リプレイの脆弱性があることが判明した。つまり、攻撃者はクレーンとコントローラー間の無線通信を盗聴し、偽のコマンドを無線で送信してクレーンを制御できるようになる。
ドローン操縦者が建設現場のクレーンに気づかず墜落
続きを読む
「これらのデバイスは、スニッフィングと再送信によって再現可能な固定コードを使用している」とUS-CERTは説明した。
「これにより、コマンドの不正な再生、任意のメッセージの偽装、または制御対象の負荷を永続的に「停止」状態に維持することが可能になります。」
これだけでも十分に深刻な欠陥だが、国家の支援を受けたハッカー集団が産業機械を操作して現実世界に甚大な被害をもたらす方法を模索していることが知られている中で、大規模な建設機械が関係するとなると、中程度のリスクでもさらに恐ろしいものとなる。
研究者の Jonathan Andersson、Philippe Lin、Akira Urano、Marco Balduzzi、Federico Maggi、Stephen Hilt、Rainer Vosseler が、トレンドマイクロの Zero Day Initiative を通じてこの欠陥を発見し、報告したとされています。
テレクレーン社はこの件に関するコメント要請に応じなかった。®
