Recently Patched GE Cimplicity Vulnerabilities Reminiscent of Russian ICS Attacks
2023/07/19 SecurityWeek — 先日に GE がパッチを適用した、Cimplicity 製品における十数件の脆弱性は、悪名高いロシアのハッカー・グループによる ICS 攻撃を彷彿とさせるものだ。7月18日 (火) に CISA は、世界中の主要組織の重要インフラ部門などで使用されている、GE の Cimplicity の HMI/SCADA 製品で見つかった脆弱性について、ユーザーに対するアドバイザリを発表した。CISA アドバイザリには、任意のコード実行のために悪用される可能性のある、一連の欠陥に割り当てられた CVE-2023-3463 について記されている。
パッチをリリースした GE は、「悪用に関しては、システムにローカルアクセスできる認証ユーザーが、悪意のソースから文書を入手して開いた場合にのみ可能であり、ユーザーによる安全なデプロイメントと、強力なアクセス管理が不可欠である」と指摘している。
この脆弱性を発見した ICS サイバー・セキュリティ研究者である Michael Heinzl は、「CVE 識別子は1つしか割り当てられていないが (ベンダーによる主張?) 、実際には、未初期化ポインタ/境界外読込み/境界外書込み/use-after-free/ヒープバッファ・オーバーフローなどのバグを含む、合計で 14件のメモリ破壊の脆弱性が存在する」と、SecurityWeek に対して語っている。
2022年12月に Heinzl は CISA を通じてベンダーに調査結果を報告したが、一連の脆弱性にパッチを当てるために、GE は長い時間を費やしたと指摘している。
Heinzl は自身の Web サイトにおいて、14件の欠陥について個別のアドバイザリを発表している。彼は、「それぞれの脆弱性は、特別に細工された .cim プロジェクト・ファイルを正規のユーザーに開かせることで悪用が可能であり、任意のコード実行に至る恐れがある。この攻撃は。すべてのバージョンに対して、デフォルト設定で機能する」と指摘している。
Heinzl によると、アプリケーションのインストールフォルダには、”No_DEP” という名前のサブフォルダが含まれており、このサブフォルダにはデータ実行防止 (DEP) が無効化された、アプリケーションのバイナリ・コピーが含まれているとのことだ。この特定のバイナリに依存している組織においては、一連の脆弱性の悪用が容易になるようだ。
彼は、「最新の GE Cimplicity の脆弱性は、ウクライナのエネルギー部門に対する破壊的な攻撃で有名な、Sandworm と名付けられたロシア政府に支援されたハッカー・グループが実施した、10年前の攻撃を彷彿とさせる」と述べている。
2014年に Trend Micro は、Sandworm グループが Cimplicity のユーザー組織を標的に、攻撃ベクターとして “.cim” ファイルを使用する作戦を行ったと報告している。
その時にも CISA は、これらの攻撃を受ける可能性のある組織に対して警告を発していた。2021年に更新された CISA の分析には、「攻撃者は Cimplicity の脆弱性 CVE-2014-0751 を悪用して、攻撃者が制御するサーバ上でホストされている悪意の “.cim” ファイル (Cimplicity 画面ファイル) を、HMI サーバ上で実行させた。さらに攻撃者は “.cim” ファイルを使用して、BlackEnergy マルウェアを展開した」と記されている。
GE の Cimplicity は、世界中の主要組織の重要インフラ部門などで使用されているとのことなので、その影響が心配ですね。GE に関する記事を検索してみたら、2023/01/18 の「GE Historian の脆弱性: ICS を標的とするスパイ活動や破壊活動にいたる恐れ」が見つかりました。よろしければ、カテゴリ ICS も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.