CISA Warns of Critical Flaws Affecting Industrial Appliances from Advantech and Hitachi
2022/10/19 TheHackerNews — 18日に米国の CISA は、産業制御システム (ICS) である Advantech R-SeeNet/Hitachi Energy APM Edge アプライアンスの深刻な脆弱性に関する、2件のアドバイザリを発表した。これらの脆弱性は、R-SeeNet モニタリング・ソリューションの3つの弱点に起因し、悪用に成功した攻撃者は、システム上でのファイル削除/コード実行などが、リモートから可能になるという。
R-SeeNet 2.4.17 以前に影響する脆弱性は以下の通り:
- CVE-2022-3385/CVE-2022-3386 (CVSS:9.8):2つのスタックベース・バッファ・オーバーフローの脆弱性により、リモートの攻撃がコードを実行する可能性がある。
- CVE-2022-3387 (CVSS:6.5):パス・トラバーサルの脆弱性により、リモートの攻撃者が任意の PDF ファイルを削除する可能性がある。
これらの脆弱性に対応するには、2022年9月30日にリリースされた R-SeeNet 2.4.21 のパッチを利用する。
さらに、CISA が 2021年12月に発表していた、Hitachi Energy Transformer Asset Performance Management (APM) Edge 製品群に含まれる、アクセス不能を引き起こす可能性のある、複数の脆弱性に関するアドバイザリの更新版も公開された。
これらの 29件の脆弱性は、OpenSSL/LibSSL/libxml2/GRUB2 ブートローダなどの OSS コンポーネントのセキュリティ脆弱性に起因し、まとめて CVSSスコア 8.2 が割り当てられている。ユーザーに対しては、APM Edge 4.0 へとアップデートし、一連のバグを修正することが推奨されている。
今回の2件のアドバイザリは、CISA が Siemens/Hitachi Energy/Mitsubishi Electric などの ICS デバイスにまたがる、複数の脆弱性を含む 25件のアドバイザリを 2022年10月13日に発表してから、1週間も経たないうちに発出された。
OT cybersecurity と Asset Monitoring の会社ある SynSaber によると、2022年上半期に CISA 経由で報告された ICS 製品の脆弱性は 681件であり、深刻度で分類すると Critical 152件/High 289 件/Medium 205 件になるという。
問題視されるのは、Critical/High と評価された CVE のうち 54件は、ベンダーからパッチや緩和策が提供されず、報告された脆弱性全体の 13%を占め、”forever-day vulnerabilities”として残されている点だ。
SynSaber は ICS Vulnerabilities & CVEs: H1 2022 で、「主要インフラの資産所有者や防衛担当者は、いつ改善策が提供され、どのような優先順位で改善策を実施すべきかを、理解することが重要だ」と述べている。
Advantech/Hitachi の ICS デバイスにおける脆弱性 CVE-2022-3385/CVE-2022-3386/CVE-2022-3387 に対して、CISA が警告を発しましたが、KEV (Known Exploited Vulnerabilities) への追加には至っていないようです。なお、最近の ICS 関連の脆弱性としては、10月11日の「Siemens PLC における深刻な脆弱性 CVE-2022-38465:秘密鍵リークの恐れ」があります。よろしければ、カテゴリ ICS も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.