次世代の Stuxnet 型ワームが悪用するにはうってつけの産業用制御ソフトウェアの脆弱性が、どうやら相変わらず蔓延しているようだ。
今週Tenableから発表されたレポートでは、シーメンスを含む産業用制御システム(ICS)メーカー最大手4社の製品に存在する一連のCVEリストに記載されたセキュリティホールについて概説されている。イランの核濃縮施設の制御装置がStuxnetの主な標的となった。
主にアメリカとイスラエルによって開発されたStuxnetは、Windows PCに感染し、ネットワーク上で特定のシーメンス製産業用コントローラ(イランが使用するガス遠心分離機のローター速度を制御するように設定されていると思われる)に接続されたコンピューターを探し出し、それらのコントローラを再プログラムすることで動作しました[PDF]。これにより、機密性の高い高速濃縮装置を密かに破壊しました。具体的には、StuxnetはMicrosoft Windowsの3つの脆弱性と、シーメンスのWindowsベースのSIMATICソフトウェアの1つの脆弱性を悪用し、イランの核開発計画における機器を乗っ取りました。
そのため、有能なハッカー集団によって開発される将来的なスタックスネットのような悪質なマルウェアは、重要な機械を制御するシステムにまだ存在する同様の欠陥を突いて、かなり不快な損害を引き起こす可能性があると懸念されている。
致命的
Tenableのエンジニア、ジョセフ・ビンガム氏によると、今回の最新調査では、彼と彼のチームは昨年9月から9ヶ月にわたり、ICSベンダー4社の製品を調査した結果、合計17件のセキュリティ上の欠陥を発見したという。そのうち3件を除く全てが重大なものだった。調査対象となった機器は、発電所のシステム、工場の生産ライン、その他のインフラ設備など、あらゆる重要機器の監視と制御に使用されている。こうした機器は、悪意のある人物によって遠隔から予期せず再プログラムされたり、操作されたりすることは避けたいものだ。
発見された脆弱性の一つに、CVE-2019-10915という重大なバグがありました。これは、シーメンスが提供するTIAポータルの脆弱性です。TIAポータルは、管理者が設置済みの産業用コントローラにリモートでコマンドを送信できるようにするためのWebアプリケーションです。ネットワーク上の攻撃者は、認証チェックを完全に回避し、パスワードを必要とせずに任意のコマンドを実行して機器を乗っ取ることができます。これは、重要な産業用管理アプライアンスにとって決して望ましい状況ではありません。
「攻撃者は、WebSocket コマンドをサーバーに直接送信することで、HTTP 認証を回避し、すべての管理者機能にアクセスできる」と Bingham 氏は説明した。
「リモートの攻撃者は、任意のサーバーから悪意のあるファームウェアの更新を強制したり(リモートコード実行につながる)、ユーザーの権限を変更したり、アプリケーションのプロキシ設定を変更したりする可能性があります。」
念のためお知らせします。私たちはまだ産業用コントローラのセキュリティ対策が不十分です。
続きを読む
シーメンスはその後パッチをリリースしており、管理者はできるだけ早く修正プログラムをテストしてインストールすることが推奨されています。
シーメンスの脆弱性は最新のものでしたが、Tenableの研究者が発見した重大な脆弱性はこれだけではありません。富士電機(Tellus V-Server)、シュナイダーエレクトリック(InduSoft Web StudioおよびModicon PLC)、ロックウェル・オートメーション(RSLinx)の産業用制御機器にも、中程度から重大なレベルの脆弱性が見つかりました。
全体として、この調査は、Stuxnetとその脆弱性を利用したイランのウラン遠心分離機破壊活動が初めて報じられてから9年以上が経ち、ICS(制御システム)とセキュリティコミュニティが達成してきた進歩について、あまり明るい兆しを見せていない。とはいえ、ソフトウェアには常にバグが存在するものであり、今回の攻撃はすべてソフトウェアによって制御されているため、パニックに陥る必要はないだろう。
「スタックスネットが孤立したネットワークを介して拡散し、標的となったイランの核施設の遠心分離機に損害を与えるには、わずか3つの新たな脆弱性だけで十分だった」とビンガム氏は指摘する。「これらの脆弱性のいずれかが…脅威アクターによって発見され、産業用ハードウェアを混乱させたり損傷させたりするための標的型攻撃の主要コンポーネントとして利用された可能性もあった。」®
