Moxa NPort デバイスに脆弱性:重要インフラが攻撃にさられる可能性

Moxa NPort Device Flaws Can Expose Critical Infrastructure to Disruptive Attacks

2022/07/28 SecurityWeek — 世界中で広く使用されている Moxa 製の産業用接続デバイスで、脅威アクターが重大な混乱を引き起こす可能性のある、2つの深刻な脆弱性が発見された。 台湾に拠点を置き、産業用ネットワーク/オートメーション・ソリューションを提供する Moxa は、これらの脆弱性を修正した。

これら2つの脆弱性 CVE-2022-2043/CVE-2022-2044 は、High Severity と評価されており、シリアル・デバイスをイーサネットネットに接続するために設計された、Moxa の NPort 5110 デバイス・サーバに影響をおよぼす。これらの脆弱性が、リモートの攻撃者により悪用されると、対象となるデバイスがサービス拒否 (DoS) 状態に陥る可能性がある。

Moxa と米国の Cybersecurity and Infrastructure Security Agency  (CISA) は、この脆弱性に関するアドバイザリを発表した。Moxa は顧客に対して、ファームウェアのバージョン 2.10 のみが影響を受けるとし、技術サポート部門に連絡するよう通達している。また、CISAは、影響を受ける組織に対して、セキュリティ・パッチを適用するために、Moxa に連絡するよう指示している。

Moxa/CISA の両者は、これらの脆弱性は、デンマークに拠点を置く産業用サイバーセキュリティ企業 En Garde Security の研究者 Jens Nielsen により報告されたとしている。


今週に公開されたブログ記事で、En Garde Security のオーナーである Mikael Vingaard は、同社の調査部門が 2022年3月前半に、これらの脆弱性を発見し、ベンダーに悪用を示す PoC エクスプロイトと動画が提供されたと記している。

Vingaard は、SecurityWeek に対して、「Moxa NPort デバイスはインターネットに公開されるべきではないが、実際には多くのデバイスが Web からアクセスできる。Shodan で検索すると、5,000台以上のデバイスが表示されるが、いくつかのハニーポットがあるかもしれない。しかし、それら全てがハニーポットではない」と警告している。

さらに彼は、「2つの脆弱性の悪用に必要なことは、ターゲットとなるデバイスへのネットワーク接続だけだ。悪用はわずか数秒で実行可能で、インターネット経由で自動実行も可能だ」とも述べている。

影響を受ける NPort デバイスは、エネルギー/製造/輸送などの、重要なインフラ分野を含めて、世界中で使用されている。2015年に発生した、ウクライナの電力網への攻撃では、この種のデバイスが破壊の標的となり、大幅な停電が発生したと報告されている。

En Garde の研究者たちが発見した、一連の脆弱性を悪用は、これらの分野における重要サービスの停止につながる可能性があり、Vingaard は脆弱な Moxa デバイスを「社会にとって重要なインフラ・サービスのごく一部」と表現している。

また、Vingaard は、最初の DoS 脆弱性により、ターゲット・デバイスをダウンさせることができるとし、「デバイスの制御を回復する唯一の方法は、スタッフがデバイスの電源を手動で切り替えることであり、そのためには人員が物理的に配備されている必要がある。つまり、制御を回復するまでの時間が問題となるような状況では、理想的ではない」と説明している。

2つ目の境界外アクセスの脆弱性について、Vingaard は、「攻撃者がデバイス上の要素にアクセス/上書きしたりすることが可能であり、クラッシュやデータの破損を引き起こす可能性がある。これにより、システムは操作不能になり、場合によってはデバイスが永久に破損する可能性がある」と述べている。

Moxa について、お隣のキュレーションチームに聞いてみたところ、頻繁に脆弱性が公開されるが、このところは無かったといっていました。このブログでは、2021年9月に「Moxa の鉄道用デバイスに影響をおよぼす 60件の脆弱性」という記事がアップされていました。重要インフラで利用されているデバイスだけに、いろいろと不安になってしまいますね。

%d bloggers like this: