CVE-2024-32741 (CVSS 10): Siemens SIMATIC CN 4100 Critical Vulnerability Exposed
2024/05/15 SecurityOnline — 産業オートメーションの世界的リーダーである Siemens は、SIMATIC CN 4100 通信ノードに関するセキュリティ・アドバイザリを発行し、産業用制御システムを悪意の攻撃にさらす可能性のある深刻な脆弱性について警告した。
3つの脆弱性が発見される
BASF セキュリティ・チームの研究者である Michael Klassen と Martin Floeck が、SIMATIC CN 4100 に存在する3件の深刻な欠陥を発見した:
CVE-2024-32740 (CVSS 9.8):ユーザー/クレデンシャル情報の問題: この脆弱性の悪用に成功した攻撃者は、ローカルおよびリモートの両方から、標的デバイスに対して不正にアクセスする可能性を持つ。
CVE-2024-32741 (CVSS 10):ハードコードされた root パスワード:root ユーザーとブートローダーに関する、ハードコードされたパスワー ドが存在するため、それらが解読されると、デバイスが完全に侵害される可能性が生じる。
CVE-2024-32742 (CVSS 7.6):無制限 USB ポート:この脆弱性の悪用に成功した、物理的なアクセス権を持つ攻撃者は、 異なるオペレーティング・システムを起動し、標的デバイス上のファイル・システムの完全な制御を可能にする。
リスクは高い
SIMATIC CN 4100 は、数多くの産業用制御システムにおける重要コンポーネントであるため、これらの脆弱性にたいしては、特に注意することが必要だ。悪用に成功した攻撃者により、不正アクセス/データ漏洩などが引き起こされ、さらには重要な産業プロセスの中断につながる可能性が生じる。
緩和策:直ちにアップデート
すでに Siemens は、これらの脆弱性に対応する、SIMATIC CN 4100 の新バージョン (V3.0) をリリースしている。すべてのユーザーに対して強く推奨されるのは、可能な限り迅速に、最新バージョンにより各デバイスをアップデートすることだ。
SIMATIC CN 4100のアップデートの詳細および具体的な手順については、Siemens の公式セキュリティ・アドバイザリを参照してほしい。
Siemens SIMATIC CN で新たに発見された脆弱性ですが、CVSS 値が高いものもあるため、攻撃対象にされる前に収束してほしいですね。かなりの広範囲で利用され、攻撃面積も広いと思われます。同社の Web には、「SIMATIC CN 4100 は革新的な通信ノードであり、あらゆる通信タスクに対応する。また、スケーラブルなモジュラー設計と、サードパーティ・システム接続のオプションにより、プロセス制御テクノロジーにおける効率的なシステム・コンセプトの実装を実現する」と記されています。よろしければ、Siemens で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.