PLC/HMI パスワード・クラッキング・ツールによるマルウェア配信とは?

PLC and HMI Password Cracking Tools Deliver Malware

2022/07/18 SecurityWeek — HMI/PLC などの産業用製品のパスワードを解読できると主張するツールに、ゼロデイ脆弱性が発見され、これらのツールを使ったマルウェア配信が、脅威アクターにより行われていることが判明した。組織内の産業用システムを担当するエンジニアが、ある日、突然に、更新が必要な PLC/HMI や、プロジェクト・ファイルがパスワードで保護され、ログインできないとうい状況に直面することがある (パスワードの失念や、退職者による設定)。

このような場合に、Web 上で解決策を検索すると、特定の工業製品のパスワードを解読するためのツールを宣伝している Web サイトに行き着くことがあり。産業用サイバー・セキュリティ企業の Dragos が行った調査/分析によると、このようなパスワード・クラッキング・ツールにより、マルウェアが配信される可能性もあることが判明している。

Dragosは、Automation Direct の DirectLogic PLC 向けに設計されたツールを調査したが、同じ脅威アクターが、Omron/Siemens/ABB/Delta Automation/Fuji Electric/Mitsubishi Electric/Pro-face (Schneider Electric)/Vigor/Allen-Bradley (Rockwell Automation)/Panasonic/LG/Fatek/IDEC などの、いくつかの製品向けのパスワード・クラッキング・ソフトも提供していることが判明した。

Dragos の簡単な分析によると、マルウェアを配信している可能性が高い同様のツールが、他社から提供されているようだ。


DirectLogic PLC のクラッキング・ツールは、対象となるデバイスのパスワードを返してくるが、これまで知られていなかった脆弱性を悪用することで、この機能は実現されている。脆弱性 CVE-2022-2003 は、イーサネットまたはシリアルポートを介して送信される、特別に細工されたリクエストに応答して、PLC に平文でパスワードを提供させるために悪用される可能性がある。

Automation Direct は、Dragos からの通知を受けて、この脆弱性と DoS 脆弱性にパッチを適用した。CISA は、これらのセキュリティ・ホールについて、組織に通知するための2つの勧告を発表した。

Dragos が分析したパスワード・クラッキング・ツールは、20年前から存在する有名なマルウェア Sality を配信し、サイバー犯罪者が金銭的利益を得るために悪用されている。

理論上、脅威アクターは、Sality が提供するアクセス権を用いて、産業プロセスを混乱させることが可能だ。そして Dragos は、これらのツールを配布しているグループには金銭的な動機があり、暗号通貨を盗み出すことで利益を上げようとしていると述べている。

運用技術 (OT) システムが、直接的なターゲットではないかもしれないが、Sality はマルウェア対策製品に関連するリソースをブロックするため、産業組織に影響を与える可能性がある。

Dragos は、「Sality は、あらゆる発信接続をブロックするので、アンチウイルス・システムは信頼性基準 CIP-007-6 に違反するアップデートを受信できなくなる」と説明している。

この記事を読む限り、Automation Direct は、ほとんどブラックなグレーという感じですね。それと、脆弱性 CVE-2022-2003 ですが、お隣のキュレーション・チームに聞いてみたところ、Intel MT8797 (CPU) などの vow Driver/ccu Driver コンポーネントにおけるメモリ破壊の脆弱性とのことでした。トップベンダーの HMI/PLC などが狙われているようですので、ご注意ください。よろしければ、カテゴリ PLC も、ご参照ください。

%d bloggers like this: