Mitsubishi Electric PLCs Exposed to Attacks by Engineering Software Flaws
2022/12/02 SecurityWeek — 産業用サイバー・セキュリティ企業である Nozomi Networks の研究者たちが、三菱電機のエンジニアリング WS ソフトウェア GX Works3 に存在し、放置すると安全システムのハッキングに悪用される可能性のある、脆弱性3件を発見した。GX Works3 は、三菱電機の PLC である MELSEC iQ-F/iQ-R 向けに提供している、コンフィグレーション/プログラミング用ソフトウェアである。
Nozomi の研究者たちが発見したのは、GX Works3 のプロジェクト・ファイルから情報を取得した攻撃者が、接続されている Safety CPU Modules を危険にさらす可能性のある、3つのセキュリティホール (CVE-2022-29831/CVE-2022-29832/CVE-2022-29833) である。
これらのモジュールのプロジェクト・ファイルは暗号化されており、それらを開くには、ユーザーごとに設定されたユーザー名とパスワードが必要である。しかし、Nozomi は、ハードコードされたパスワードや、平文での保存、不十分な認証情報保護などの問題を発見し、そこから認証情報や機密情報が漏洩することを確認した。
脅威アクターたちは、誤った設定のファイル・サーバや共有コンピューターへの不正アクセスにより、あるいは、保護されていない通信の傍受により、プロジェクト・ファイルを入手できる。そして、ファイルを入手した後に、そこから脆弱性を悪用し、産業用制御システム (ICS) のハッキングに必要な情報を入手できるという。
Nozomi によると、「攻撃者たちは2つの脆弱性 (CVE-2022-29831/CVE-2022-29832) を悪用することで、プロジェクト・ファイルに含まれるプロジェクト自体の機密情報や、関連する Safety CPU Modules に登録されたアカウントの、ユーザー名などを入手できる」と述べている。
彼らは、「資産の所有者が、Safety CPU Modules へのアクセスに用いる認証情報を再利用し、関連するプロジェクト・ファイルの保護も選択している場合には、より危険なシナリオが発生する。現実のところ、このような状況では、攻撃者は3つの脆弱性 (CVE-2022-29831/CVE-2022-29832/CVE-2022-29833) を連鎖させ、Safety CPU Modules に直接アクセスできる、極めて強力な攻撃プリミティブを入手するかもしれない。それにより、攻撃者は Safety CPU Modules を危険にさらし、その結果として、管理している産業プロセスを中断させる機会を得る可能性がある」と指摘している。
三菱電機は、一連の脆弱性を説明するアドバイザリを発表し、また、米国では CISA が、これらの製品を使用している組織に対して、独自のアドバイザリを提供している。三菱電機と CISA のアドバイザリでは、同じ製品群に影響を及ぼすとされる、他の7件の脆弱性についても解説されている。
しかし、現時点において三菱は、パッチをリリースできず、緩和策と回避策を提供するに留まっている。Nozomi は、脅威アクターたちによる悪用を防ぐために、技術情報を公開していない。
文中にもあるように、一連の脆弱性に関しては、CISA の ICS Advisory (ICSA-22-333-05) でも取り上げられています。また、三菱電機に関しては、5月4日に「三菱電機における変圧器テスト報告書の改竄:1982年以降に製造された 3,384台が対象」という記事がありました。よろしければ、カテゴリ PLC も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.