Honeywell Experion PKS/ACE コントローラにおける深刻な脆弱性が FIX

Multiple Critical Flaws Discovered in Honeywell Experion PKS and ACE Controllers

2021/10/06 TheHackerNews — 火曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、Honeywell Experion Process Knowledge System C200/C200E/C300/ACE の全バージョンに存在する、複数のセキュリティ脆弱性について勧告を発表した。この脆弱性を悪用されると、リモートコード実行やサービス拒否 (DoS) 状態に陥る可能性がある。

今年2月に発表したセキュリティ通知において Honeywell は、「Control Component Library (CCL) が悪意をもって改変され、コントローラに読み込まれることで、悪意のコードがコントローラ内で実行される可能性がある」と指摘している。同社は、この欠陥を発見/報告した産業サイバー・セキュリティ企業 Claroty の Rei Henigman とNadav Erez に注目している。Experion Process Knowledge System (PKS) は、Distributed Control System (DCS) であり、石油化学の精製所から原子力発電所まで、様々な分野の大規模な産業プロセスを制御するために設計されており、高い信頼性とセキュリティが重要視されている。3つの欠陥のリストは以下の通りである。

• CVE-2021-38397 (CVSS score: 10.0) – Unrestricted Upload of File with Dangerous Type
• CVE-2021-38395 (CVSS score: 9.1) – Improper Neutralization of Special Elements in Output Used by a Downstream Component
• CVE-2021-38399 (CVSS score: 7.5) – Relative Path Traversal

Claroty によると、これらの問題は、コントローラ内で動作するロジックをプログラムするために不可欠な、ダウンロード・コードの手順に起因している、攻撃者は。このプロセスを模倣して。任意の CLL バイナリ・ファイルをアップロードできる。このデバイスは、チェックやサニタイズを行わずに実行ファイルをロードするため、攻撃者は実行ファイルをアップロードし、認証されていないネイティブ・コードをリモートから実行できる。

簡単に言うと、この欠点をうまく利用すると、脅威アクターによるファイルやディレクトリへの不正アクセスが生じ、さらに悪いことに、リモートでの任意のコード実行や、サービス拒否状態を引き起こすことが可能となる。Honeywell は、悪意のコードを含む修正された CCL を、コントローラにロードすることを防ぐために、使用前に検証された各 CCL バイナリに暗号署名を行うことで、セキュリティを強化した。

先日にポストした、「Positive Technologies 調査:製造業への攻撃が倍増している」という記事ですが、「あるペネトレーション・テストで、技術的セグメントに試験的にアクセスした結果、56% のケースで Industrial Control Systems (ICS) へのアクセスが可能になった」と調査結果を伝えています。悪意の行為者が ICS コンポーネントにアクセスすると、生産ライン全体の停止や、機器の故障、産業事故の誘発などの、深刻な損害や死亡事故を引き起こす可能性が生じるわけで、ここは止めなければならないところですね。

%d bloggers like this: