Water Tank Management System Used Worldwide Has Unpatched Security Hole
2022/09/16 SecurityWeek — 世界の組織で使用されている水槽管理システムが、リモートから悪用できる深刻な脆弱性の影響を受けるが、ベンダーはパッチを当てる気がないようだ。この影響を受ける製品は、アイルランドの建材メーカーである Kingspan の Water and Energy Unit が製造したものだ。Kingspan TMS300 CS 水槽管理システムは、水槽のレベル情報画面/Web サーバー/アプリケーション/オンラインポータル/電子メールなどを提供している。有線/無線のマルチタンク・レベル測定/アラーム/インターネット接続/ローカルネットワーク接続などを特徴としている。
今週に CISA が発表したアドバイザリによると、同製品に存在する、不適切なアクセス制御ルールの実装に起因する深刻な脆弱性により、認証されていない攻撃者が機器の設定を参照/変更できることを、研究者である Maxim Rupp が発見したとのことだ。
からは、攻撃者が認証なしで、特定の URL に移動するだけで、デバイスの設定にアクセスできることを見つけた。これらの URL は、Web インターフェイスの閲覧もしくは、ブルートフォース攻撃により特定できると、Rupp は SecurityWeek に語っている。
この脆弱性が CVE-2022-2757 には、CVSS 値 9.8 が割り当てられている。
これらのデバイスは、インターネットからアクセスできるように設定できます。攻撃者は、デバイスの Web インターフェイスにアクセスできる限り、どこからでもセキュリティホールを悪用できると Rupp は説明している。
Rupp によると、製品のドキュメントに基づき、この脆弱性を悪用に成功した攻撃者は、その後に、センサー/タンク/アラーム閾値などに関する、さまざまな設定を変更できるという。
公開されたコンフィグレーションにより、標的となる組織において、ハッカーが何らかの混乱を引き起こすかもしれない。
CISA によると、影響を受ける製品は、上下水道システム分野で世界的に使用されているとのことだ。同機関によると、この脆弱性に、はまだパッチが当てられていない。
CISA は、「これらの脆弱性を軽減するために、Kingspan に協力するよう要請しているが応答がない。影響を受ける製品のユーザーは、追加情報を得るために Kingspan のカスタマー・サポートに連絡することが推奨される」と述べている。
SecurityWeek も、同社にコメントを求めたが、回答は得られなかった。
CISA は、この種の脆弱性によってもたらされる、リスクを軽減するための一般的な推奨事項を、いくつか提示している。
水道施設に関するトピックとしては、2021年10月の「ランサムウェアと水道施設:米国における3件の SCADA Systems 侵害とは」と、2022年8月16日の「Clop ランサムウェアが英国の水道施設を攻撃:別会社を誤って恐喝して訂正」がありました。言うまでもなく、水道は重要なインフラであり、ここを攻撃される都市機能は停止します。そして、大都市であればあるほど、その被害は深刻なものになります。なにかが起こる前に、Kingspan が対応してくれると良いですね。
IoT OT Security News 
You must be logged in to post a comment.