CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加

CISA: Vulnerability in ​​Delta Electronics ICS Software Exploited in Attacks

2022/08/26 SecurityWeek — Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されている。火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示した。

このうち、脆弱性 CVE-2021-38406 は HMI (human-machine interfaces) の設計およびプログラミングに使用される、Delta Electronics DOPSoft 2 ソフトウェアに影響を与える深刻なリモートコード実行の脆弱性である。この脆弱性は、境界外への書き込みに起因し、特別に細工されたプロジェクト・ファイルを、標的ユーザーに開かせることで悪用の可能性が生じる。

2021年9月にも CISA は、 この脆弱性を含む DOPSoft 2 の脆弱性に関するアドバイザリを公開しれいる。その当時の CISA は、同製品が耐用年数を迎えており、ベンダーが対応ソフトウェアへの切り替えを顧客に助言していたことで、欠陥に対するパッチは適用されないとユーザーに通知していた。そして、現時点における CISA は、同製品を使用している場合には削除すべきとしている。

この脆弱性の悪用について記述した公的な報告は、8月19日に Palo Alto Networks が公開したブログ記事のみである。そこでは、同社が 2022年2月〜4月に収集したデータに基づき、野放し状態で悪用されている複数の脆弱性が列挙されている。

ブログポストに掲載されていても、この脆弱性 を悪用した攻撃についての情報は提供されていない。そこで、SecurityWeek は Palo Alto Networks に対して、CVE-2021-38406 の悪用に関する情報について問い合わせた。

最近の SecurityWeek 分析で指摘されているように、脅威アクターが OT (Operational Technology) 製品の脆弱性をも標的とする、無差別なインターネット・スキャン活動を行うことは珍しくない。しかし、それだけでは、標的となった欠陥が実際に攻撃されたことを意味するわけではなく、その可能性があるというだけである。つまり、ICS (Industrial Control Systems) の脆弱性が、実際に攻撃で悪用されることは稀である。

しかし、最近の CISA は、悪用された確実な証拠がある脆弱性のみを、KEV (Known Exploited Vulnerabilities) リストに追加することを明らかにしている。

なお、Palo Alto Networks は、2022年2月〜4月に収集したデータの中で、Apache APISIX のリモートコード実行の脆弱性 CVE-2022-24112 と、Grafana Snapshot の認証バイパスの脆弱性 CVE-2021-39226 の悪用が、確認されたと報告している。これらの脆弱性の悪用について記述した報告は他に無いため、同社の報告に基づいて、CISA が追加したものと思われる。

CISA は、dotCMS に影響を与える、無制限のファイル・アップロードの脆弱性 CVE-2022-26352 もカタログに追加している。この問題は、銀行のバグバウンティ・プログラムに参加していた研究者が発見したものであり、リモートコード実行を可能にするものだ。そして、この脆弱性を狙う、Metasploit のモジュールが最近になって追加された。

また、CISA は、PHP で .tar ファイルを扱うために設計された、PEAR Archive_Tar ライブラリに影響を与える2つの脆弱性を追加した。この脆弱性 CVE-2020-28949 の悪用に成功した攻撃者は、任意の PHP コードの実行やファイルの上書きが可能になり、また、脆弱性 CVE-2020-36193 ではパストラバーサルが可能になりる。SecurityWeek は、これらのセキュリティホールについては、Drupal の開発者がパッチを適用した 2020年11月と 2021年1月に記事にした。 つまり、Drupal は影響を受けるライブラリを使用してたことになる。

攻撃で悪用されたという報告はないが、悪用が可能だと判断した Drupal は、脆弱性 CVE-2020-28949 に対するアウトオブバンド。パッチをリリースした。

CISA のカタログに追加された脆弱性のうち、Apache CouchDB の脆弱性 CVE-2022-24706 および、Spring の脆弱性 CVE-2022-22963、Chrome (WebRTC) の脆弱性CVE-2022-2294、iOS/macOS の脆弱性 CVE-2021-31010 については、数週間から数ヶ月前にアクティブな悪用のレポートが公表されていた。

macOS/iOS の脆弱性は、2021年9月に Appl eが Forcedentry のゼロデイと同時にパッチを適用したが、同社は 2022年5月にアドバイザリを黙って更新し、この脆弱性を追加したのは攻撃での悪用を確認したからだと述べている。

Delta Electronics DOPSoft 2 は、HMI (human-machine interfaces) のソフトウェアであり、その先には PLC と産業用の機器などがつながっているはずです。そして、文中にもあるように、脆弱性 CVE-2021-38406 が CISA の KEV リストに追加されたということは、何らかの悪用が確認されたということです。今年に入ってから、こうした OT 分野の記事が増えているように思えます。6月1日の「R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明」や、8月16日の「Evil PLC という攻撃シナリオ:武器化した PLC から OT/IT ネットワークを侵害」などは、とても気になる内容です。よろしければ、カテゴリ ICS も、ご利用ください。

%d bloggers like this: