商船の乗組員が陸上の世界とデジタル通信できるようにするためのソフトウェアスイートには、ハードコードされたパスワードを持つ文書化されていない管理者アカウントや Adobe Flash の広範な使用など、セキュリティ上の脆弱性が数多く存在していた。
情報セキュリティコンサルタント会社 Pen Test Partners は、Dualog Connection Suite に 6 件の CVE 番号リクエストを提出するのに十分な問題を発見するのに 90 分しかかからなかったと述べています。
同社は詳細なブログ投稿で、「ブラウザ開発者ツールでネットワークトラフィックを監視するだけで、数秒以内に最初の脆弱性に気づきました。より詳細な調査を行うのに十分な兆候がありました。」と述べています。
発見された内容には、ハードコードされたパスワードを持つ未公開の管理者アカウントが含まれていました。このパスワードはPen Test Partnersによって10分で解読されました。スイートの基盤となるOracleデータベースは、ソルトなしの古いMD5ハッシュを使用していたため、研究者は比較的容易に総当たり攻撃を行うことができました。
ソルトとは、ハッシュ処理中にランダムだが一意の文字を追加して、パスワードやフレーズを安全に保存する技術であり、ここで詳しく説明されています。
ユーザーインターフェースは、独自の2要素認証インターフェースを備えたAdobe Flashアプリ(笑わないでください)で「保護」されていました。ユーザーは、システムへの認証の2番目の手段として、6桁のコードを入力するよう求められました。しかし残念なことに、PTPは認証に必要なすべての数字が「Flashアプリケーション自体に保存されており、簡単に抽出できる」ことを発見しました。
Dualog Connection Suite のバックエンドに行われたクエリを詳しく調べたところ、SQL トラフィックが行き来していることが明らかになりました。PTP は、一部のクエリを微調整すると、「私たちが乗船している船だけでなく、会社が運営するすべての船のユーザーに関するすべての詳細」が返されることを発見しました。
最後に、ソフトウェアスイートのログインページにアクセスすると、ユーザー名フィールドが自動補完されました。その際、「バックグラウンドでAPI呼び出しを使用してユーザーリスト全体がダウンロードされ、有効なユーザー名がすべて漏洩します。」
ペンテストパートナーは、輸送は非常に不安定で、石油掘削装置で運転して逃げることもできると述べている。
続きを読む
Dualogの最高経営責任者(CEO)に、PTPの調査結果についてコメントを求めた。PTPによると、同社からの回答を得るのに2020年の大半を要したという。1月から対応を開始し、12月8日にFlashフリーの最新版スイート[PDF]がリリースされるまで、何のアップデートも見られなかったという。
海上における船舶のデジタルセキュリティ確保は困難です。20世紀には乗組員が他の誰もがそうであったようにインターネットを利用できるような革新が起こりましたが、海運業界の多くは依然として、自社の資産を陸上と時折通信する浮遊する空洞のようなものと捉えています。
PTP は海事情報セキュリティの分野に深く入り込み、今年初め、海上の石油掘削装置は非常に脆弱で、十分な決意があれば誰でも遠隔操作で破壊できる可能性があることを発見しました。
数年前、情報セキュリティ企業の IOActive は、世界中の何千もの船舶で使用されている海上衛星通信プラットフォームに欠陥が潜んでいることを発見しましたが、ソフトウェアメーカーはそれに無関心でした。®
