Vulnerabilities Allow Hackers to Hijack, Disrupt Socomec UPS Devices
2023/09/11 SecurityWeek — Socomec 製の無停電電源装置 (UPS:uninterruptible power supply) の一部に、デバイスの乗っ取りや破壊に悪用される可能性のある、複数の脆弱性が存在している。Socomec はフランスに拠点を置き、低電圧エネルギー性能に特化した製品を提供する製造会社である。同社が提供するモジュール式 UPS 装置は、世界中の様々な分野の企業で使用されている。
スペインを拠点とするサイバーセキュリティ企業 S21sec の ICS セキュリティ・コンサルタントである Aaron Flecha Menendez は、Socomec の UPS デバイスの一部である MODULYS GP (MOD3GP-SY-120K ) が、7件の脆弱性の影響を受けていることを発見した。
その脆弱性リストに含まれるものは、クロス・サイト・スクリプティング (XSS)/平文パスワード保存/コード・インジェクション/セッションクッキー盗難/クロス・サイト・リクエスト・フォージェリ (CSRF)/機密情報のアンセキュアな保存などであり、深刻度は Critical〜Medium に分布している。
先週に、米国の CISA は、これらの脆弱性について、ユーザー組織に通知するための勧告を発表し、影響を受ける製品が耐用年数に達していることを指摘した。
ベンダーからユーザー組織への勧告は、旧製品の使用を中止すること、および、セキュリティ欠陥の影響を受けない MODULYS GP2 (M4-S-XXX) のアップグレードすることである。
一連の脆弱性が存在する製品を、現時点で使用している企業は、重大なリスクにさらされている可能性がある。つまり、システムの動作を知っている攻撃者が、セキュリティ・ホールの悪用に成功すると、UPS の動作が変更され、正常に機能しなくなるからだ。
Flecha Menendez は、「実現可能なシナリオの中で、最悪のシナリオは UPS の管理を中断させ、バックアップ電力を供給する能力に影響を与えることだ」と SecurityWeek に語っている。
幸いなことに、脆弱な UPS 製品が、インターネットに露出している状況ではないようだ。しかし、標的となった組織のネットワーク内から、攻撃者が MODULYS GP の脆弱性を連鎖させ、より大きな被害を及ぼす可能性がある。
彼は、「まず、機密情報のアンセキュアな保管の脆弱性 CVE-2023-41965 が悪用される。続いて、脆弱性 CVE-2023-41084 への連鎖が生じ、期限のない有効なセッション Cookie が取得される。それにより、リモートコード・インジェクションの脆弱性 CVE-2023-40221 が悪用できるようになる。これらの3件の脆弱性が組み合わされると、攻撃者が管理レベルでデバイスを完全に制御できるようになり、デバイスの正しい機能に影響が及ぶことになる」と説明している。
新しい製品モデルをテストしていないため、ベンダーが主張するように、それらが本当に脆弱性の影響を受けていないことを確認できないと、研究者は指摘している。
UPS デバイスを狙う攻撃が、前代未聞だということはない。脆弱性のある製品を使用している組織にとって、対策を講じることが重要となる。昨年に米国政府は、このような攻撃について企業に警告を発し、脅威を軽減する方法についてのガイダンスを提供している。
UPS の脆弱性ですが、これまにでも、2022/03/10 の「Schneider APC UPS デバイスに深刻な脆弱性:TLStorm という総称を持つ RCE」や、2023/04/24 の「APC の警告:UPS ソフトウェアに存在する RCE 脆弱性 CVE-2023-29411 などが FIX」と言った記事がありました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.