三菱電機の FA 製品に脆弱性:米 CISA もアドバイザリを提供

Mitsubishi Electric Factory Automation Flaws Expose Engineering Workstations

2024/02/05 SecurityWeek — 日本における電子/電気機器会社である、三菱電機が製造したファクトリー・オートメーション製品に、深刻な脆弱性が2件見つかった。先週に発表されたアドバイザリで三菱電機は、いくつかのファクトリー・オートメーション (FA) 製品に、深刻度の高い認証バイパスとリモートコード実行の、脆弱性の影響が生じると発表した。影響を受ける製品には、EZSocket/FR Configurator2/GT Designer3/GX/MT Works/MELSOFT Navigator/MX などが含まれる。

三菱電機は、「脆弱性 CVE-2023-6942 の悪用に成功したリモート未認証の攻撃者は、特別に細工したパケットを送信することで認証を回避し、当社の製品群に不正に接続する可能性がある。さらに、脆弱性 CVE-2023-6943 の悪用に成功した攻撃者は、製品への接続を維持する状態で、悪意のライブラリへのパスを持つ関数を、リモートから呼び出すことで、悪意のあるコードを実行する可能性がある。その結果として、権限のない不正なユーザーにより、製品内の情報を開示/改竄/破壊/削除などが実行され、また、製品上でサービス拒否 (DoS) 状態を引き起こされる可能性がある」と述べている。

現時点において、同社はパッチをリリースしていない。影響を受ける製品のユーザーに対して勧告されるのは、悪用のリスクを減らすために、一般的なサイバー・セキュリティ対策を実施することである。

この問題を三菱に報告したとされる、産業用サイバー・セキュリティ企業 Dragos の脆弱性アナリスト Reid Wightman は、「この欠陥は、インターネットからダイレクトに悪用される可能性があるが、Web から直接アクセスできるシステムがあるかどうかは不明だ」と、SecurityWeek に語っている。

Reid Wightman は、「これはプロプライエタリなネットワーク・プロトコルであり、Shodan のような検索エンジンは、現時点で公開されたサービスを検索していない。このソフトウェアを使っている組織が、自身のコンピューターを直接インターネットに晒していないことを望むが、こうしたことは時々起こる」と説明している。

研究者たちは、「実際の攻撃シナリオにおける潜在的な影響について説明すると、これらのシステムを攻撃者がターゲットにした場合には、エンジニアリング・ワークステーションへの高特権アクセスを得ることになる。つまり、攻撃者は、エンジニアリング・ワークステーションに新しいユーティリティをインストールするだけではなく、PLC と通信し、PLC を再プログラミングする可能性を持つ」と指摘している。

エンジニアリング・ワークステーションは、ICS (Industrial Control Systems) などのOT (Operational Technology) 環境を持つ組織を狙う攻撃で、最初のアクセス・ベクターとして悪用されるケースが多い。

米国のセキュリティ機関 CISAも、これらの脆弱性について産業組織に知らせる勧告を発表している。

1月30日に、三菱電機と CISA は、MELSEC WS シリーズのイーサネット・インターフェース・モジュールに影響する、別の認証バイパスの問題についてもアドバイザリを発表した。ただし、この脆弱性は中間者攻撃 (man-in-the-middle attack) を伴うため、深刻度は Medium となっている。

三菱電機は、「リモートの認証されていない攻撃者は、キャプチャ・リプレイ攻撃によって認証をバイパスし、モジュールに不正にログインすることが可能だ。その結果として、不正ログインに成功したリモートの攻撃者は、モジュール内のプログラムやパラメータを開示/改竄する可能性を持てっている」と述べている。

同社は、自社製品で見つかった脆弱性への対応に力を入れているようだ。同社は 2023年に、36件のセキュリティ勧告を発表している。勧告の数が多いということは、同社が脆弱性報告を真剣に受け止めていることを示す指標となる。

三菱電機の EZSocket/FR Configurator2/GT Designer3/GX/MT Works/MELSOFT Navigator/MX に、脆弱性 CVE-2023-6942/CVE-2023-6943 が発生しましたが、現状ではパッチ未適用とのことです。前回の関連記事は、2022/12/02 の「三菱電機の PLC に深刻な問題:エンジニアリング WS の脆弱性を介した攻撃の可能性」ですが、2023/06/29 には「日本の官民における脆弱なサイバー・セキュリティ:数多くの APT に狙われている – Rapid7」という記事もポストされています。