Moxa の鉄道用デバイスに影響をおよぼす 60件の脆弱性

Flaws in Moxa Railway Devices Could Allow Hackers to Cause Disruptions

2021/09/02 SecurityWeek — 台湾の産業用ネットワーク／オートメーション企業である Moxa が製造する、鉄道向けの無線通信デバイスには、60件近くの脆弱性が存在する。今週に、Atos 傘下のサイバーセキュリティ・コンサルティング会社である SEC Consult は、同社の研究者が Moxa デバイスに、新たに２つの脆弱性を発見したほか、数十の欠陥をもたらす古いサードパーティ製ソフトウェア・コンポーネント群を発見した。

SEC Consult によると、Moxa デバイスには、認証された攻撃者がデバイスの OS を侵害するコマンド・インジェクションの脆弱性 (CVE-2021-39279) と、特別に細工されたコンフィグレーション・ファイルを介したクロスサイト・スクリプティング (XSS) の脆弱性 (CVE-2021-39278) が存在するとのことだ。また、サードパーティ・コンポーネントである、GNU C Library (glibc) および、BusyBox DHCP Client、Dropbear SSH、Linux Kernel、OpenSSL などの、これまでの 10年間に発見された50件以上の脆弱性の影響を受けることになる。

今回の脆弱性について、Moxa は２つのアドバイザリを公開している。そのうちの１つは、鉄道用に設計された TAP-323 / WAC-1001 / WAC-2004 シリーズ・デバイスへの影響を説明している。TAP-323 デバイスは、列車から地上への無線通信のために設計されたトラックサイド無線アクセス・ポイントであり、WACデバイスは、鉄道用無線アクセス・コントローラと説明されている。Moxa は、TAP-323 と WAC-1001 のパッチを提供していますが、WAC-2004 シリーズ・デバイスは製造中止となっており、ベンダーは顧客に対し、悪用のリスクを軽減するための緩和策を実施するようアドバイスしている。

この脆弱性を Moxa に報告した、SEC Consult の研究者である Thomas Weber は SecurityWeek に対して、XSS とコマンド・インジェクションの脆弱性について、連鎖の有無を判断するための分析は行っていないが、可能性はありそうだと述べている。攻撃者に必要な手順は、認証されたユーザーを騙して XSS のトリガーとなるリンクをクリックさせ、システム上で認証されるために必要な情報を取得し、コマンド・インジェクションを悪用するという流れだ。攻撃者が、対象デバイスの Web ベースの管理インターフェースにアクセスし、ログイン情報を取得した場合 (ログイン情報は様々な方法で取得可能)、永続的なアクセスが生じ、デバイス全体が乗っ取ることもある。

Thomas Weber は、「コマンド・インジェクションを利用するためには、デバイスの認証情報が必要だが、それが得られると内部ネットワークへのアクセスが可能になる」と述べている。鉄道運行への影響について、ハッカーが引き起こす混乱を推測するのは難しいが、デバイスを介して送信されるメッセージの重要性に依存するはずだという。コマンド・インジェクションの脆弱性により、認証された攻撃者はデバイスを永久的に停止させ、無線通信を妨害することができる。また、攻撃者は、Web インターフェースから単純にデバイスをシャットダウンすることも可能だ。

この脆弱性は、Moxa の WDR-3124Aシリーズや、OnCell G3470A-LTE シリーズなどの、産業用セルラー・ゲートウェイにも影響を与える。これらの製品については、ベンダーが別途アドバイザリを公開している。パッチに関しては、セルラー・ゲートウェイ用のみがリリースされているが、製造中止となった製品を使用している組織に対しては、緩和策が用意されている。Thomas Weber は、「大半のケースにおいて、悪用するためには、対象となるデバイスを収容するネットワークにアクセスする必要があるが、Shodanで検索した結果、約60台のセルラー・ゲートウェイが、インターネットからの攻撃にさらされている可能性がある」と指摘している。

産業系の脆弱性を拾っていると、よく Moxa に出会います。でも、台湾の企業だというのは、初めて知りました。なお、CVE-2021-39279 と CVE-2021-39278 は、Miter には有っても、NVD にはマダ無い、という状況です。このような、IoT/OT の脆弱性情報ですが、この Moxa のように積極的に出してくれると助かるのですが、脆弱性情報を共有するという考え方が、なかなか進まないようです。よろしければ、「IoT SF : Consumer IoT : Vulnerability Disclosure Expanding The View Into 2021」をご参照ください。

Railway Communication Devices Made by Moxa Affected by 60 Vulnerabilities

Railway and other types of wireless communication devices made by Taiwan-based industrial networking and automation firm Moxa are affected by nearly 60 vulnerabilities.

Atos-owned cybersecurity consulting firm SEC Consult this week revealed that one of its researchers discovered two new vulnerabilities in Moxa devices, as well as several outdated third-party software components that introduce tens of flaws.

According to SEC Consult, Moxa devices are affected by a command injection vulnerability that can be exploited by an authenticated attacker to compromise the device’s operating system (CVE-2021-39279), and a reflected cross-site scripting (XSS) flaw that can be exploited using a specially crafted configuration file (CVE-2021-39278).

The products are also impacted by more than 50 other vulnerabilities discovered in the past decade in third-party components such as the GNU C Library (glibc), the DHCP client in BusyBox, the Dropbear SSH software, the Linux kernel, and OpenSSL.

Moxa has published two separate advisories for the vulnerabilities. One of them describes the impact on TAP-323, WAC-1001 and WAC-2004 series devices, which are designed for railways. The TAP-323 device is a trackside wireless access point designed for train-to-ground wireless communications, while the WAC devices are described as rail wireless access controllers.

Moxa is making available patches for the TAP-323 and WAC-1001 products, but WAC-2004 series devices have been discontinued and the vendor has advised customers to implement mitigations that should reduce the risk of exploitation.

Thomas Weber, the SEC Consult researcher who reported the vulnerabilities to Moxa, told SecurityWeek that while they haven’t conducted an analysis to determine if the XSS and command injection flaws can be chained, he believes it might be possible. An attacker would need to trick an authenticated user into clicking on a link that would trigger the XSS to obtain the information necessary to get authenticated on the system and exploit the command injection.

If an attacker gains access to the web-based management interface of the affected devices and they obtain login credentials — the login credentials could be obtained through various methods — they would be able to take over the whole device with persistent access.

“You just need the device credentials to exploit the command injection and then you have access to the internal network,” Weber said.

Asked about impact to railway operations specifically, the researcher said the disruption a hacker could cause is difficult to estimate, but it depends on the “criticality of the messages that are sent through the device.”

The command injection vulnerability could allow an authenticated attacker to disrupt wireless communications by permanently bricking the device. An attacker could also simply shut down the device from the web interface.

The same 60 vulnerabilities also impact Moxa’s WDR-3124A series wireless routers, which have reached end of life, and OnCell G3470A-LTE series industrial cellular gateways. The vendor has published a separate advisory for these products. Patches have only been released for the cellular gateways, but mitigations are available for organizations using the discontinued product.

Weber noted that while exploitation in most cases would require access to the network housing the targeted devices, roughly 60 affected cellular gateways — based on a Shodan search — could be exposed to attacks from the internet.