GE SCADA Product Vulnerabilities Show Importance of Secure Configurations
2022/02/25 SecurityWeek — 今週に、産業用サイバー・セキュリティ企業である OTORIO が、ある欠陥を発見し、その問題を説明する簡単なブログ記事を公開した。そして GE と CISA は、それぞれの脆弱性に対して、個別のアドバイザリーを発表している。脆弱性 CVE-2022-23921 は、特権昇格とリモートコード実行のために悪用される可能性がある。
ただし、悪用に成功するには、Proficy CIMPLICITY を実行しているデバイスへのアクセスが必要である。さらに、対象となるサーバーが何のプロジェクトも実行していないこと、そして、複数のプロジェクトに対してライセンスされていることが必要となる。GEは、この脆弱性を修正するためのアップデートをリリースしている。
OTORIO の VP of Research である Matan Dobrushin は、「CVE-2022-23921 は、CIMPLICITY サーバーへのアクセスが制限されている攻撃者が、CIMPLICITY ランタイム・プロジェクト内に悪意のファイルをドロップすることで、特権昇格する可能性がある」と SecurityWeek に述べている。
2つ目の脆弱性 CVE-2022-21798 は、平文での認証情報の送信に関連するものである。中間者 (MitM) 攻撃により認証情報を取得した攻撃者は、その認証情報を使って HMI を認証し、システムに関する情報を警告を取得できる。GE は、攻撃者がシステムの値を変更することも、場合によってはあり得ると述べている。
OTORIO はブログ記事で、「CIMPLICITY が OT 環境において中心的な役割を担っていることを考えると、この2つの脆弱性により、運用のためのサーバーに破壊的な影響が生じる可能性がある。攻撃者がネットワークに足場を築く場合には、CIMPLICITY は標的リストのトップになると推測できる」と警告している。
GE は、ユーザーが暗号化通信を有効にすることで、CVE-2022-21798 の悪用を防げると述べている。実際に OTORIO も、サーバーが安全な設定になっていれば、どちらの脆弱性も緩和されると指摘している。ただし、そうでない場合も多いと、同社は指摘している。
OTORIO が GE CIMPLICITY のセキュリティについて調べたのは、今回が初めてではない。昨年にも同社は、ユーザー組織が GE CIMPLICITY システムのセキュリティを確保するために設計された、オープンソースの hardening tool を公開している。また、GE は、この OTORIO ツールを使用するよう、顧客に助言している。製造業の組織が、この種の脆弱性を無視しないことは重要である。CIMPLICITY 製品は、国家的な脅威アクターに関連する、巧妙な攻撃の一部として狙われている。
この GE CIMPLICITY の脆弱性とは、ちょっと別の話になりますが、「OT 環境での Log4Shell リスク:防御のための最適な手段を探る」にあるように、SCADA とオープンソースは無縁ではないようです。GE の Web で Log4j を検索したところ、4つほどトピックがあることが確認できました。また、2月10日の「Claroty 調査:2021年は重要インフラ組織の 80% がランサムウェア攻撃を経験」や、2月23日の「製造業のインフラを攻撃するランサムウェア:圧倒的に活発な LockBit と Conti」、「製造業に特化したランサムウェア:Kostovite/Petrovite/Erythrite とは?」などが示すように、この世界にもランサムウェアの波が押し寄せているようです。
IoT OT Security News 