Siemens ソフトウェア・コントローラの問題点:Black Hat で研究者が指定する欠陥とは?

Security Researchers Dig Deep Into Siemens Software Controllers

2022/08/12 SecurityWeek — LAS VEGAS – BLACK HAT 2022 — イスラエルの Technion Research 大学の研究者チームは、Siemens のソフトウェア・コントローラの分析を行っており、セキュリティ上の問題を徐々に発見し始めている。研究者たちは、Siemens の PLC (programmable logic controller) を、つまり SoftPLC を分析している。SIMATIC S7-1500 ソフトウェア・コントローラは、ET200SP オープン・コントローラ上で動作し、PLC のセキュリティと産業用 PC の柔軟性を兼ね備えていると言われるものだ。


Technion の調査によると、このコントローラは Intel Atom CPU を搭載しており、ベンダーが SWCPU と呼ぶ Windows と Adonis Linux による2つの仮想マシン (VM) を制御する、ハイパーバイザーを実行していることが判明した。この Adonis カーネルにより、PLC のロジックと機能が実行される。

SWCPU は暗号化されており、PLC のブートプロセスでハイパーバイザーにより復号化される。しかし、研究者たちは、そのブート・プロセスが安全ではないため、攻撃者がハイパーバイザーのバイナリや、暗号化された SWCPU を含むファイル・システムを読み出して変更できることを発見した。続いて研究者たちは、ハードコードされたキーを使用して、SWCPU を復号化できることも発見した。

Siemens は研究者たちに対して、ハードコードされたキーを使用して、ファームウェアを復号化することは可能だと認めている。同社は、この暗号化の役割は、同社の知的財産を保護する点にあると主張している。

Siemens は SecurityWeek に対して、「顧客によるインストールが、この研究結果により、ダイレクトに影響を受けることはない。しかし Siemens は、顧客が Siemens のセキュリティ勧告を継続的にチェックし、利用可能な最新のパッチをインストールすることを推奨している。さらに Siemens は、プラント運用のために深層防護アプローチを顧客が実施し、Siemens シーメンスの Operational Guidelines for Industrial Security に従い、環境を構成することを強く推奨する」と、電子メールによる声明で述べている。

Technion の研究者であり、サイバー・セキュリティ企業 CyCloak の CEO でもある Sara Bitan は、テクニオンのチームが、今週の Black Hat で調査結果の一部を公開する前に、SecurityWeek の取材に応じた。研究者たちは、今後の研究への道を開くという意味で、この研究が重要であると考えており、ファームウェアのハッキング自体がセキュリティに影響を与える可能性があるとしている。

彼は、「平文ファームウェアに対しては、リバース・エンジニアリングが可能だ。このファームウェアには、標準的な C 言語のランタイム・ライブラリや、各種のオープンソース・ライブラリ (例:OpenSSL) が含まれていることが確認された。このファームウェアの更新頻度は低く、既知の脆弱性にさらされている。さらに、私たちは、オープン・コントローラーが S7-1500 と、ソフトウェアの 99% を共有していることを発見し、それについては Siemens も認めている。つまり、このファームウェアの解読により、Simatic S7-1500 製品群全体が、既知の脆弱性を悪用する攻撃にさらされることになる」と説明している。

現在も研究を継続している専門家たちは、悪意の行為者が S7-1515SP PC2 の Windows VM の制御に用いると予測される、Siemens PLC ファームウェアの不正な置き換えと、それを持続させる方法を特定したとしている。この脆弱性の全容は、初期段階の研究には含まれていないため、Black Hat では公開されていない。Siemens が通知を受けたのは最近のことであり、また、その対応からみても、この問題を十分に評価していないようだ。

Sara Bitan は、「Windows VM のローカル管理者権限を得た攻撃者は、ローカル/リモートの悪用にかかわらず、PLC ファームウェアを含むファイルを、正しくエンコードされた独自の不正ファームウェアに変更/置換できる。つまり、オープン・コントローラは、再起動後に自動的に不正ファームウェアを実行あすることになる」と説明している。

研究者たちは、「攻撃者は、悪意のファームウェアを用いて PLC を完全に乗っ取り (Stuxnet が行ったように)、自分の制御プログラムを実行できる。Windows マシンに関しては、アップデートやハードニングなどを含めて、顧客が全責任を負う。Windows マシンは、エンジニアが開発環境として使用するように設計され、外部と通信するのは Windows マシンとなる (フィールドデバイスを除く) 。そのため、攻撃対象が大きく、悪意の攻撃者に乗っ取られる可能性が生じる」と付け加えている。

OT の主役である PLC も、仮想化されているのですね。この種の製品は、用途に応じて細分化されていて、さらにバリエーションも豊富だと思うのですが、それらを効率よく生産して、市場に供給するためにも、仮想化やオープンソースの活用が必然となるのでしょう。それが、SoftPLC というわけです。2021年12月の Log4j 問題のときに、OT の世界でもオープンソースが使われていることを知りましたが、VM まで利用していることは、この記事に教えてもらいました。なお、文中にある Stuxnet で検索も、よろしければ、ご利用ください。

%d bloggers like this: