Rockwell の PLC に深刻な脆弱性:検知されずに物理的に影響をおよぼす Stuxnet タイプか?

Vulnerabilities in Rockwell Automation PLCs Could Enable Stuxnet-Like Attacks

2022/04/01 DarkReading — Rockwell Automation の Programmable Logic Controller (PLC) を、研究者たちが分析したところ、オートメーション・プロセスを変更する方法を攻撃者に提供することで、産業工程を中断し、工場に物理的損害を与えるなどの、悪意の行動を許す可能性のある、2つの深刻な脆弱性が発見された。

今週に、それらの脆弱性を発見した Claroty Team82 の研究者たちによると、攻撃者は異常な動作を検知されることなく、PLC 上で悪意のコードを実行できることから、Stuxnet 的な性質があるとされる。Rockwell Automation は、この2つの欠陥に関するアドバイザリを発表し、顧客に提供している。一連のアドバイザリには here と here からアクセスできるが、アカウントが必要となる。

この脆弱性を受けて、木曜日には米国の CISA が警告を発し、影響を受けるコンポーネントを使用している組織に対して、脅威の検出方法と緩和策を提供している。CISA によると、世界中の重要なインフラ部門の組織に、この脆弱性は影響を及ぼすことになるとのことだ。また、これらの脆弱性は、攻撃の複雑性が低いため悪用は容易であり、そのうちの1つはリモートから悪用される可能性があるとしている。

リモート操作が可能な脆弱性

リモートから悪用が可能な脆弱性 CVE-2022-1161 (CVSS 10) は、Rockwell の ControlLogix/CompactLogix/GuardLogix ラインの制御システムで稼働する、PLC ファームウェアに存在している。Claroty の VP of Research である Amir Preminger は、「これらの脆弱性は、Rockwell のカタログに掲載されている PLC の主要ラインに存在する。影響を受けるデバイスは、自動車/食品/飲料/石油/ガスなど、ほとんど全ての垂直分野で一般的に使用されている。それらのデバイスが存在しないと考えられる唯一の業界は、送電と配電だけである」と述べている。

Amir Preminger によると、この脆弱性は、PLC の実行ファイル (バイトコード) とソースコード (テキストコード) が、PLC 上の別々の場所に保存することに関連しているという。そのため、攻撃者はソースコードを変更せずに、バイトコードを変更できてしまう。

彼は、「PLC は、この2つのコードに対して互換性を要求していない。PLC に接続するエンジニアには、通常のテキストコードが実行されているように見えるが、変更されたバイトコードは、変更の兆候なしに悪意のコードに差し替えられる結果となる」と述べている。Claroty は、Rockwell PLC の17機種が影響を受けると特定した

CISA の警告によると、この問題は、信頼できない機能の組み込みを制御できなかったことに起因しているという。この問題への対処に関する推奨事項は、ココで参照できる。

コード・インジェクションの脆弱性

2つ目の脆弱性 CVE-2022-1159 は、エンジニアが Rockwell の PLC をプログラムするために使用する、ソフトウェア Studio 5000 Logix Designer に存在するものだ。このソフトウェアにより、エンジニアは新たに開発したロジックを開発/コンパイルし、同社の PLC 製品群に転送することが可能となる。

一般的に OT 環境のエンジニアは、PLC が制御しているプロセスを改善/調整/修正するために、PLC の複雑なロジックをアップグレードすると、Preminger は言う。このmStudio 5000 Logix Designer の脆弱性により、ソフトウェアを実行しているワークステーションの管理者権限を持つ攻撃者が、コンパイル・プロセスを乗っ取り、悪意のコードを注入し、警告を発することなく PLC 上で実行できるようになる。

Amir Preminger は、「CVE-2022-1159により攻撃者は、ユーザーに検知されることなく、コンパイル中のコードを変更できる。その結果、エンジニアが PLC に転送したつもりのロジックが、変更される可能性が生じる」と述べている。この脆弱性の深刻度は CVSS 値で 7.7 とされ、優先度は高いが、必ずしも重要な脆弱性とはなっていない。CISA の勧告では、この欠陥はコード・インジェクションの問題だとされている。

Stuxnet のような攻撃の可能性は?

これらの脆弱性は、Rockwell Automation の異なるコンポーネントに存在し、PLC のロジック・フローを変更し、システムで制御されている物理デバイスに対して、悪意のコマンドを設定するきっかけを作るというものだ。Claroty の研究者たちは、「たとえば特定のタグや自動化プロセス変数を異なる値に変更し、物理的な状況におけるエンジン回転数などを操作し、自動化プロセスに大きな損傷を与えるかもしれない」と述べている。

Amir Preminger は「Stuxnet のケースは 、エンジニアに通常のコードが実行されたと思わせながら、PLC 上で実行されたバイトコードを隠蔽するという、最初の攻撃として報告されている。そして、今回の Rockwell は Stuxnet タイプの攻撃だ。Stuxnet は、何か別のものが実行されていることを示す、すべての視覚的な表示を変更した。その結果として、遠心分離機が意図したよりも速く回転し、予期しない結果を引き起こした」と述べている。

ICS セキュリティに対する懸念は、決して新しいものではない。しかし、ここ数年、その傾向は強まっている。最近の Claroty の調査によると、2021年に報告された ICS の脆弱性は、2020年に比べて 52% 増加している。2019年と2020年の比較では、ICS の脆弱性が 25% 増加しているが、そこから更に伸びている。昨年に、ICS 製品に脆弱性が含まれていたとされる 82社のベンダーのうち、21社に関しては、それまで不具合が報告されていなかった。したがって、その後、研究者たちが、がより広範囲に ICS のバグを探し始めたことを意味する。

Claroty の前回のレポートでは、2021年 1Hに開示された脆弱性の 90% は、攻撃の複雑性が低く、また、71% の深刻度は、Critical または High であったとされる。また、リモートからの悪用が可能な脆弱性は 61% であり、実行に特権を必要としないものが 74% だったという。

Colonial Pipeline への攻撃や、悪名高い Triton マルウェアなどが、エネルギー分野の組織を攻撃し続けていることについて、最近になって FBI が報告書 (2017年にサウジアラビアのエネルギー企業で行ったケースと同様の方法) を発表した。それにより、こうした懸念が大きく高まり、昨年から米国政府は、サイバー・セキュリティに関する新たな投資や取り組みを大きく進めている。

製造業の ICS/SCADA/PLC などに影響をおよぼすという、とても怖い脆弱性です。また、自動車/食品/飲料/石油/ガスなど、ほとんど全ての垂直分野で一般的に使用されているとのことです。なお、文中で引き合いに出されている Stuxnet ですが、Wikipedia では「インターネット接続が無いスタンドアローンのコンピュータ・システムも、USB ストレージを経由して感染するワームである。ネットワーク経由の攻撃に対して比較的安全とされていた、産業用制御システムに感染して実害を及ぼし、イランの核施設を標的とした攻撃で広く知られた」と紹介されています。

%d bloggers like this: