NI VeriStand Gateway Vulnerability Exposes Critical Systems to Risk
2024/07/22 SecurityOnline — National Instruments (NI) が発表したのは、リアルタイム・テスト/シミュレーション・フレームワークの要である、VeriStand Gateway ソフトウェアに存在する深刻な脆弱性に関する緊急のセキュリティ・アドバイザリである。この脆弱性は、VeriStand のバージョン 2024 Q2 以下に影響を及ぼし、機密システムを不正アクセスや悪意の攻撃にさらす可能性を生じる。
脆弱性
VeriStand を実行するホスト・コンピュータと、シミュレーション・モデルを実行するリアルタイム・ターゲット・ハードウェア間の通信を処理する、 VeriStand Gateway 内の不適切な認可チェックに、一連の脆弱性は起因する。
この脆弱性の悪用に成功した攻撃者は、プロジェクトおよびファイル転送リソースへの不正なアクセスが可能となり、次のような問題を引き起こす:
- リモート・コード実行 (CVE-2024-6806): 攻撃者は、ターゲットのシステム上で任意のコードを実行する可能性を手にし、シミュレーションの完全性を損ない、深刻な被害へといたる可能性が生じる。
- 情報漏えい (CVE-2024-6805): プロジェクトやファイル転送に関連するデータが暴露され、機密情報や知的財産が漏洩する可能性を生じる。
深刻度と影響範囲
なお、脆弱性 CVE-2024-6806 は、CVSS 9.8 (Critical) と評価されており、きわめて深刻なものである。もう一方の脆弱性 CVE-2024-6805 は、CVSS 7.5 (High) と評価されているが、こちらも深刻なリスクをもたらすものである。
誰が影響を受けるのか?
自動車/航空宇宙/エネルギーなどの、さまざまな業界の組織の重要システムにおいて、NI VeriStand はリアルタイム・テストとシミュレーションのために利用されている。VeriStand 2024 Q2 以下のバージョンを導入している場合には、この悪用の影響を受ける可能性がある。
緩和策と推奨事項
すれに NI は、最新バージョン (2024 Q3 以降) をリリースし、すべての VeriStand ユーザーに対して早急なアップグレードを強く推奨している。旧バージョン (VeriStand 2023/2021) のユーザーは、引き続き警戒が必要である。そして、パッチが利用可能になり次第、アップグレードを検討すべきである。
追加情報およびサポートについては、NI のテクニカル・サポートへの問い合わせ、もしうくは、公式セキュリティ・アドバイザリの参照が可能となっている。
National Instruments (NI) ついて Wikipedia で調べてみたところ、「国際的に事業を展開するアメリカの多国籍企業である。テキサス州オースティンに本社を置き、自動テスト機器/仮想計測ソフトウェアを製造している。その用途には、データ取得/計測器制御/マシンビジョンなどがある。2023年10月に Emerson Electric に買収され、そのテストおよび計測事業の部門として運営されている。2022年の同社は、35,000社を超える企業に製品を販売し、売上高は US$1.66 billion に達している」と解説されていました。この分野における一大勢力であり、Emerson 傘下になっています。よろしければ、ICS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.