Cisco Finds 8 Vulnerabilities in OAS Industrial IoT Data Platform
2023/09/07 SecurityWeek — Cisco の Open Automation Software (OAS) プラットフォームに存在する、複数の脆弱性を悪用することで、認証バイパス/機密情報漏洩/ファイル上書きなどが可能になると、同社は警告している。OAS プラットフォームとは、サーバ/ICS/IoT などにおける、デバイス間での通信やデータ転送を可能にするものであり、通常は、インダストリアル/エンタープライズ環境で使用されるものだ。ここでは、ロギング/ノーティフィケーション/クロスプラットフォーム統合もサポートされている。
9月6日 (水) に Cisco Talos のセキュリティ研究者たちは、OAS プラットフォームのエンジン設定管理機能で確認された8件の脆弱性を公表した。このうちの3件は、深刻度の高い脆弱性だと評価されている。
これらの脆弱性のうち、最も重要なものは、CVE-2023-31242 と CVE-2023-34998 であり、特別に細工されたリクエストを介して悪用が可能な、認証バイパスの欠陥だと解説されている。前者は一連のリクエストを介して、また、後者はネットワーク・トラフィックのスニッフィングを介して引き起こされる。
最初の問題は、OAS エンジンがインストールされた時に、デフォルトで管理者ユーザーが設定されておらず、また、新規ユーザー作成などの機能へのアクセスにおいて、認証が必要ないという事実に起因している。たとえ管理者ユーザーが作成されたとしても、エンジンが再起動する前にコンフィグレーションを保存する必要がある。そうしなければ、デフォルトの状態に戻ってしまうという。
したがって、特別なリクエストを使用する攻撃者が、認証されていないアクセスが可能かどうかをチェックし、新しいユーザーを作成し、コンフィグレーションを保存し、基本システムにアクセスし続ける可能性がある。
2件目の欠陥は、有効な管理者認証情報を含む protobuf をキャプチャした攻撃者が、それを使って独自のリクエストを作成できるというものである。その後に攻撃者は、ユーザーの作成/保存の機能にアクセスし、基本システムにアクセスできるようになる。
これらの認証バイパスの欠陥を、脆弱性 CVE-2023-34317 (ユーザー作成機能における不適切な入力検証のバグ) と組み合わせることで、「SSH キーを含むユーザー名フィールドを持つユーザー」を追加し、基本システムへのアクセスが可能なると Cisco は警告している。
もう1つの深刻度の高い認証バイパスの脆弱性 CVE-2023-34353 は、攻撃者がネットワーク・スニッフィングを実行し、管理者認証情報を含む protbuf をキャプチャし、機密情報を解読することを可能にする。
残りの脆弱性のうちの2件は、情報漏洩につながる可能性があるとされ、他の2つは任意のファイルの作成や上書きに加えて、任意のディレクトリの作成に悪用される可能性があるという。
すべての問題は OAS Platform バージョン 18 で確認され、バージョン 19.00.0000 のリリースで解決された。
Cisco に8件の脆弱性です。つい先日の 2023/08/30 には、「Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開」という、ちょっと心配な記事がポストされていました。よろしければ、カテゴリ ICS と、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.