Open Automation Software における深刻な脆弱性が FIX: RCE/API Access などに対応

OAS platform vulnerable to critical RCE and API access flaws

2022/05/26 BleepingComputer — 脅威アナリストたちは、Open Automation Software (OAS) Platform に影響を及ぼした結果として、不正なデバイスアクセス/サービス拒否/リモートコード実行などにつながる脆弱性を公開した。OAS Platform は、データ接続ソリューションとして広く利用されるものであり、産業用デバイス (PLC・OPC・Modbus)/SCADA/IoT/ネットワーク・ポイント/カスタム・アプリケーション/カスタム API/データベースなどを、全体的なシステムの下に統合している。

マルチベンダーを採用する際に、それぞれのデバイスやアプリの間でデータ転送を容易にし、プロプライエタリなデバイスや、カスタムなソフトウェアなどに接続するための、汎用的で柔軟なハードウェア/ソフトウェア接続ソリューションとして機能する。

Overview of the OAS platform
Overview of the OAS platform

OAS Platform は、Michelin/Volvo/Intel/JBT AeroTech/U.S. Navy/Dart Oil and Gas/General Dynamics/AES Wind Generation などの、著名な企業は団体で使用されている。そのため、このプラットフォームの脆弱性は、重要な産業分野を混乱させ、機密情報の漏洩の危険にさらす可能性がある。

重大な欠陥

Cisco Talos のレポートによると、OAS Platform の Ver 16.00.0112 以下には、有害な攻撃を引き起こす可能性のある、深刻度の高いバグに対して脆弱であることが判明している。脆弱性 CVE-2022-26833 は、CVSS 値 9.4 という深刻度を持ち、OAS の REST API 機能への未認証でのアクセスおよび使用を許すものである。

攻撃者は、脆弱なエンドポイントに対して、特別に細工した一連の HTTP リクエストを送信することで、この欠陥を悪用できる。Cisco Talos の説明によると、この REST API は、設定変更やデータ閲覧のためのプログラム・アクセスを、Default ユーザに与えるように設計されている。Talos の研究者たちは、空のユーザ名とパスワードでリクエストを送信することで、認証を得ることができたとしている。

Authenticating without using any credentials
Authenticating without using any credentials
​​​​​​
​(Cisco)

2つ目の深刻な脆弱性 CVE-2022-26082 は、CVSS 値 9.1 の深刻度であり、OAS Engine SecureTransferFiles モジュールにおける、ファイル書き込みの欠陥に起因するという。Cisco Talos によると、脆弱なエンドポイントに対して、特別に細工された一連のネットワーク・リクエストを送信すると、任意のリモートコード実行にいたる可能性があるとのことだ。

Cisco Talos は、「OAS Platform に対して、所定のフォーマットを持つ一連のコンフィグレーション・メッセージを送信することで、裏に潜んだユーザーにより許可された任意の場所に、任意のファイルをアップロードすることが可能である。これらのメッセージは、デフォルトでは TCP/58727 に送信が可能であり、送信が成功した場合には、通常のユーザー権限を持つユーザー oasuser により処理される」と述べている。

それにより、リモートの脅威アクターは、oasuser の .ssh ディレクトリに新しい authorized_keys ファイルをアップロードし、ssh コマンドを使用してシステムにアクセスすることが可能になる。Cisco Talos が発見した、その他の不具合は以下の通りであり、いずれも CVSS値 7.5 である。

  • CVE-2022-27169: ネットワーク・リクエストを介してディレクトリの一覧を取得
  • CVE-2022-26077: アカウント認証情報を狙った情報漏えい
  • CVE-2022-26026: サービス拒否とデータリンクの喪失
  • CVE-2022-26303CVE-2022-26043: 外部からのコンフィグレーション変更/新たなユーザーとセキュリティ・グループの作成

    Cisco Talos は、上記の脆弱性について、サービスの無効化や、通信ポートをクローズといった緩和策を提供している。したがって、OAS Platform の新バージョンへのアップグレードが不可能な場合には、何らかの機能性や利便性のトレードオフを伴うソリューションが見つかるかもしれない。

    それ以外の場合は、OAS Platform の最新バージョンへのアップグレードが推奨される。前述の2つの重大な欠陥に対する修正は、2022年5月22日にリリースされた Ver 16.00.0.113 で実現されている。複雑なデータ接続システムを運用する産業環境では、アップグレードの遅れは常であるが、今回に関しては、公開された脆弱性の深刻度からして、早急な対応が望まれる。

この OAS Platform ですが、文中では「マルチベンダーを採用する際に、それぞれのデバイスやアプリの間でデータ転送を容易にし、プロプライエタリなデバイスや、カスタムなソフトウェアなどに接続するための、汎用的で柔軟なハードウェア/ソフトウェア接続ソリューションとして機能する」と紹介されており、OT の分野で重要な役割を果たしているように思えます。なお、各 CVE からのリンク先は NVD を指しており、それぞれの CVSS 値は Cisco Talos による評価よりは低く、7.5 となっています。

%d bloggers like this: