Mitsubishi Safety PLC に生じたリモート攻撃にいたる脆弱性とは?

Unpatched Security Flaws Expose Mitsubishi Safety PLCs to Remote Attacks

2021/08/05 TheHackerNews — Mitsubishi の Safety PLC (programmable logic controllers) において、未パッチの複数の脆弱性が公開されている。これらの脆弱性を悪用されると、ブルートフォース攻撃により、モジュールに登録されている正当なユーザー名を取得され、CPU モジュールへの不正ログインやサービス拒否 (DoS) が生じる可能性がある。今回、Nozomi Networks が公開したセキュリティ上の欠陥は、CPU モジュールとのデータの読書きと、ターゲット機器との通信で使用される、MELSEC 通信プロトコルにおける認証メカニズム実装に関連している。

脆弱性の概要は以下の通り。

Username Brute-force (CVE-2021-20594 : CVSS 5.9) – 認証時に使用されるユーザ名に対して、事実上ブルートフォースが可能になる。
Anti-password Brute-force Functionality Leads to Overly Restrictive Account Lockout Mechanism (CVE-2021-20598 : CVSS 3.7) – ブルートフォース攻撃を阻止するための実装は、潜在的な攻撃者が単一の IP アドレスを使用することをブロックするだけでなく、任意の IP アドレスのユーザーが特定の時間枠でログインすることを禁止し、正当なユーザを事実上締め出している。
Leaks of Password Equivalent Secrets (CVE-2021-20597 : CVSS 7.4) – 平文のパスワードから派生した機密情報の悪用により、PLC での不正認証を成功させる。
Session Token Management  – セッション・トークンの平文での送信。このトークンは、IP アドレスに関連付けられていないため、敵対者は同じトークンを生成した後に、別の IP から再利用できる。

厄介なことに、これらの欠陥の中には、攻撃者が PLC 上で自分自身を認証し、安全ロジックの改ざんや、ユーザーのロック、登録ユーザーのパスワード変更などを、可能にするものがある。したがって、これ以上のリスクを防ぐために、コントローラを物理的にシャットダウンする必要が生じる。研究者たちは、脆弱性の技術的な詳細や、攻撃を実証するための PoC (proof-of-concept) エクスプロイトの・コードについては、さらなる悪用につながる可能性があるため、公表を控えている。Mitsubishi は、近い将来に修正版のファームウェアを公開する予定だが、運用環境を保護し、起こり得る攻撃を食い止めることを目的とした、一連の緩和策を発表している。

当面は、潜在的な悪用のリスクを最小限に抑えるために、ファイアウォールを使用してインターネット経由の無許可のアクセスを防止すること、IP フィルターを使用してアクセス可能な IP アドレスを制限すること、USB 経由でパスワードを変更することなどの、複数の緩和策の組み合わせを推奨している。Mitsubishi は、「今回、発見された問題は、複数のベンダーの OT プロトコル認証に影響を与えている可能性が高く、可能な限り早急に多くのシステムを保護したいと考えている。我々が懸念しているのは、資産の所有者が、これらの実装の技術的な詳細と障害モデルを知らずに、OT プロトコルに固定された認証スキームの、セキュリティに過度に依存している可能性があることだ」と述べている。

これらの脆弱性に関しては、隣の席の (もちろんリモートですが) 脆弱性情報キュレーション・チームの人たちも注目していますので、レポートに掲載されるはずです。情報ソースとしては、JVN と Vuldb に加えて、ベンダー・アドバイザリも参照していました。普段だと、CISA にも掲載されるのですが、今回の脆弱性は、ちょっと扱いが違うという感じがします。さまざまなインフラなどで使用されている PLC だと思いますので、早く FIX してほしいと願います。

%d bloggers like this: