Critical Vulnerabilities in NI VeriStand Expose Industrial Systems to Remote Attacks
2024/07/23 SecurityOnline — National Instruments (NI) が発表したのは、同社のリアルタイム・テストソフトウェア VeriStand のユーザーに対する重要なセキュリティ・アドバイザリである。これらの脆弱性 CVE-2024-6793/CVE-2024-6794 (CVSS:9.8) の悪用に成功した攻撃者は、影響を受けるシステム上でリモートコード実行が可能になる。
デシリアライゼーションの危険性
これらの脆弱性は、VeriStand の DataLogging Server/Waveform Streaming Server コンポーネント内のデシリアライズ処理における、信頼できないデータに対する不適切な取り扱いに起因する。特別に細工されたメッセージを送信することで、これらの脆弱性の悪用に成功した攻撃者は、任意のコードを実行し、標的システムを完全に制御する可能性を手にする。
広範囲への影響
NI VeriStand が、自動車/航空宇宙/エネルギーなどの重要なインフラ分野で広く使用されていることを考慮すると、これらの脆弱性の潜在的な影響は深刻である。攻撃が成功すれば、HIL シミュレーションやテストで VeriStand を使用している業界において、リアルタイム・テスト業務の中断/機密データの漏洩などの、安全上の危険につながる可能性さえある。
緩和策
すでに NI は VeriStand 2024 用のパッチをリリースしており、ユーザーに対して強く推奨しているのは、最新バージョン (2024 Q3以降) へのアップグレードにより、これらの脆弱性を緩和することだ。同社は、VeriStand 2023/2021 用のパッチにも積極的に取り組んでいるが、VeriStand 2020 以下のバージョンはサポート対象外となっている。
ユーザーに対して求められるのは、可能な限り早急に、これらのアップデートを適用することだ。現在のところ回避策は存在しないが、アップグレードにより、これらの脆弱性は回避できる。
National Instruments に、新たな脆弱性2件が発生とのことです。昨日である 7月30日にも、「NI VeriStand Gateway の脆弱性 CVE-2024-6805/6806 が FIX:RCE や情報漏えいの恐れ」という記事をポストしています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.