mySCADA myPRO HMI/SCADA の深刻な脆弱性 CVE-2021-44462:リモートからの乗っ取りも?

Critical flaws in myPRO HMI/SCADA product could allow takeover vulnerable systems

2021/12/27 SecurityAffairs — mySCADA myPRO HMI/SCADA は、マルチプラットフォーム対応の Human-Machine Interface (HMI)/Supervisory Control and Data Acquisition (SCADA) システムであり、産業プロセスの視覚化および制御に用いられている。セキュリティ研究者の Michael Heinzl は、mySCADA myPRO 製品群に複数の脆弱性を発見し、その中には 深刻度 Critical と評価されるものもある。これらの脆弱性は、myPRO の Version 8.20.0 以前に影響する。

Heinzl は、発見した各脆弱性について、セキュリティ・アドバイザリを公開している。そこでは、「具体的には、HMI ファイルの解析に欠陥がある。この問題は、ユーザーが提供したデータの検証が適切に行われていないことに起因しており、割り当てられたデータ構造の範囲を超えて、書き込みが行われる可能性がある。ローカルの攻撃者は、この問題を利用して、Cscape EnvisionRV のインストール環境で、任意のコードを実行できる。Horner Automation Cscape EnvisionRV HMI File Parsing に存在する Out-of-Bounds Write の脆弱性 CVE-2021-44462に関するアドバイザリによると、この脆弱性を利用するには、ユーザーを騙して悪意の HMI ファイルを開かせる必要がある」と述べている。

また、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、8月と12月に、これらの脆弱性に関するセキュリティ勧告を発表している。これらの脆弱性は、エネルギー/食品/農業/輸送システム/上下水道システムなどの、重要インフラ分野で活動する組織に影響を与える。

これらの問題の一部は、7月にベンダーがリリースした Version 8.20.0 で対処され、2つ目の問題は 11月にリリースされた Version 8.22.0で修正されている。これらの問題が悪用されると、機密情報の取得/リモートからの任意のファイル/アップロード/認証のバイパス/OS コマンド・インジェクションなどが生じる恐れがある。いくつかの脆弱性を連鎖させることで、リモートの認証されていない攻撃者が、脆弱なシステムを完全に制御することも可能になる。

mySCADA の myPro シリーズにバッファオー・バーフローの脆弱性とのことです。10月に「ランサムウェアと水道施設:米国における3件の SCADA Systems 侵害とは」という記事をポストしていますが、こちらには mySCADA や myPro の名前は見当たりません。 また、ICS : industrial Control Systems 関連のポストとしては、8月の「OT への最初の攻撃ベクターとしてエンジニアリング WS が狙われる?」や、12月の「IoT ハニーポット実験:脅威アクターが特定のデバイスを狙う理由は?」などがあります。よろしければ、ご参照ください。

%d bloggers like this: