ICS ベンダー 10社に生じた脆弱性 OT Icefall:いくつかの緩和策が提供され始めた

ICS Vendors Respond to OT:Icefall Vulnerabilities Impacting Critical Infrastructure

2022/06/23 SecurityWeek — 先日に公開された脆弱性 OT:Icefall の影響を受ける、複数の Industrial Control System (ICS) ベンダーがアドバイザリを公開し、その影響の詳細について顧客に通知し、緩和策を提供している。OT:Icefall は、Forescout の研究者たちが、OT システムを製造する 10社の製品で発見した、56件の脆弱性の集まりに付けられた名称である。これらの欠陥は、安全が確保されないエンジニアリング・プロトコル/脆弱な暗号化/壊れた認証スキーム、欠陥を伴うファームウェア・アップデート機構/ネイティブ機能の乱用などに関連するものである。

一連のセキュリティホールは、エンジニアリング・ワークステーション/PLC/分散型制御システム/ビルディング・コントローラー/安全計装システム/リモートターミナルユニット/SCADA システムなどの、さまざまな ICS 製品に影響を及ぼる。この欠陥が悪用されると、リモートコード実行/DoS 攻撃/ファームウェアの操作/認証情報の漏洩/認証バイパスなどが発生する可能性がある。

影響を受けるベンダーは、Baker Hughes (Bentley Nevada)/Emerson/Honeywell/ JTEKT/Motorola/Omron/Phoenix Contact/Siemens/Yokogawa である。影響を受けたベンダーのうちの1社は、開示作業が続いているため、名前は明かされていない。

現時点ではパッチが提供されていないようだが、影響を受けた各ベンダーは、リスクを低減し、悪用を防止するための緩和策について、顧客への情報提供を開始している。また、Cybersecurity and Infrastructure Security Agency (CISA) は、影響を受けたベンダーの一部について勧告を発表している。

JTEKT

JTEKT の PLC である TOYOPUC には、任意のマシンコードの実行/コントローラの設定変更/データの操作/DoS 状態の発生といった、悪用が可能で深刻度の高い脆弱性 2 件が存在する。

ベンダーの推奨する対策は、リモートアクセス時の VPN の使用/制御システムを保護するファイアウォールの利用/ネットワークの露出の最小化/LAN ポートロックによる未許可の機器に対するネットワーク接続の防止などがある。

Phoenix Contact

Phoenix Contact は、ProConOS/MULTIPROG および、クラシックラインの産業用コントローラに影響を与える脆弱性について、2種類のアドバイザリを発表した。このアドバイザリには、悪意のコードを含むロジックをコントローラにアップロードするために悪用される可能性のある、2つの深刻な脆弱性が記述されている。

ベンダーの推奨する対策は、産業用コントローラを保護するためのネットワーク・セグメンテーションや、エンジニアリング・ツールとコントローラ間の接続の保護、プロジェクト・データの安全な保存または送信などである。

Siemens

Siemens は、SIMATIC WinCC OA 製品に影響する、クライアント側の認証に関する深刻な問題について、アドバイザリを公開し、顧客に通知している。この脆弱性の悪用に成功した攻撃者は、他のユーザーへのなりすましや、認証を必要としないクライアント・サーバー・プロトコルの悪用などを引き起こす可能がある。サーバー側の認証または Kerberos 認証が有効であることの確認により、悪用を防ぐことが可能になる。

Yokogawa

Yokogawa の PLC である STARDOM は、安全が確保されない認証情報の送信/ハードコードされた認証情報/ファームウェアの整合性メカニズムの欠如などの、3種類のセキュリティ問題の影響を受けている。

この2つの認証情報関連の脆弱性について、ベンダーによるアドバイザリが発表されており、その深刻度は Medium となっている。対策としては、MitM 攻撃に対する防御や、コントローラ接続の信頼できるホストのみへの限定などが挙げられている。

その他のベンダー

Omron/Honeywell/Emerson/Bently Nevada/Motorola の各社は、OT:Icefall 脆弱性に関するアドバイザリを公開していないようだ。また、顧客に対して個別の情報提供が行われているかどうかも不明である。

なお、Emerson の 20件以上や、Honeywell の 10件という具合に、これらのベンダーの中には、対応すべき脆弱性の件数が多いところもあり、勧告の発表に時間がかかっている理由になっている可能性がある。

なかなか大変なことになっていますね。2022年5月26日の「Open Automation Software における深刻な脆弱性が FIX: RCE/API Access などに対応」に続いて、数多くの ICS ベンダーに影響が及ぶ問題になっています。その一方で、6月1日の「R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明」にあるように、OT への侵害経路に関する研究も進んでいます。OT の侵害は、2022年の大きなテーマになりそうです。Forescout の OT:ICEFALL レポートは、Web コンテンツなので、そのまま参照できます。

%d bloggers like this: