情報セキュリティ団体は、シュナイダーエレクトリックの SCADA 製品 2 つに、イランを悩ませている Stuxnet ワームで悪用されたものと同様の脆弱性があったと主張した。
Trustwave によって発見され、その後修正された脆弱性は、悪意のある人物によって悪用され、SoMachine Basic v1.6 エンジニアリング ソフトウェアおよび M221 プログラマブル ロジック コントローラ (PLC) とやり取りして、悪意のある操作を実行したり操作を妨害したりするおそれがあります。
脆弱性の1つを悪用するには、Modbus TCP/IP経由でPLCにアクセスできなければなりません。もう1つを悪用するには、SoMachineが稼働しているWindowsコンピュータにアクセスする必要があります。つまり、作業を開始する前に、攻撃対象となるプラント、工場、または研究所に侵入する必要がある可能性が高いということです。
私たちの調査によると、SoMachine Basicは重要な値を適切にチェックしていないことがわかった。
「悪意のある攻撃者は、エンジニアリングソフトウェアによる認証なしにPLCをリモートで起動・停止できるようになる」と、TrustwaveのSeok Min Lim氏は今週のアドバイザリで述べ、さらに次のように付け加えた。「当社の調査によると、SoMachine BasicはPLCとの通信で使用される重要な値について適切なチェックを行っていないことが分かっています。この脆弱性を悪用すれば、ソフトウェアが操作に気付かないまま、操作されたパケットをPLCに送信する可能性があります。」
通常、エンジニアリングソフトウェアを介してPLCにコマンドを送信するには、認証(平易に言えばログイン)が必要です。しかしTrustwaveは、SoMachineから送信されたコマンドをキャプチャして再生するだけで、認証を完全に回避できることを発見しました。
シュナイダーの PLC 設計では、エンジニアリング ソフトウェアから一度に 1 つのユーザー セッションのみを受け入れることになっていたが、Trustwave はアドレス解決プロトコル (ARP) ポイズニングを使用して、実際のユーザーをログアウトしながらセッションを維持することができた。
「プロトコル仕様の一部として、PLCは『Keep Alive』要求への応答と区別がつかない汎用的な『OK』メッセージを返しました。その結果、SoMachine Basicは『Keep Alive』メッセージが正常に実行されたと誤認してしまいました。ソフトウェアはPLCとのセッションが終了したことを認識していません」とTrustwaveチームは説明しています。
サザンウォーターはフィッシング詐欺の常習犯ではなく、メール詐欺に対処するためにオフラインになった。
続きを読む
2 つ目の脆弱性は、DLL を置き換えて、PLC に送信されるコマンド内のハードコードされた値を変更するというものでした。これは、2000 年代に米国とイスラエルが共同で作成した悪名高い Stuxnet ワームがイランの核燃料遠心分離機を破壊するために使用された方法と似ています。
Trustwaveによると、Stuxnetは「ソフトウェアがPLCとの通信に使用する悪意のあるダイナミックリンクライブラリ(DLL)をサイドロードしていました。コントローラーへの正当なパケットをすべて傍受・改ざんし、悪意のあるロジックコードをアップロードして[PLC]の動作を変更しました」。
シュナイダーエレクトリックはアドバイザリの中で、「この脆弱性、つまりDLL置換により、悪意のあるコードがコントローラーに転送される可能性があります」と述べています。同社は顧客に対し、ソフトウェアの更新とPLCワークステーション周辺のセキュリティ対策の見直しを強く求めました。
このフランスの産業用ハードウェアおよびソフトウェア大手は近年、サイバーセキュリティ研究の焦点となっており、その一部では最適とは言えない慣行が明らかになっている。
Trustwave自身も、これまで数々の失敗を経験してきました。2018年には、ある保険会社が、2008年に遡る決済処理会社Heartlandへのハッキング事件の調査を怠ったとして、Trustwaveに対し3,000万ドルの損害賠償を求める訴訟を起こしました。®
