Checkmk に複数の脆弱性:IT インフラ監視ソフトウェアに乗っ取りの可能性

Multiple Vulnerabilities Reported in Checkmk IT Infrastructure Monitoring Software

2022/11/02 TheHackerNews — モニタリング・ソフトウェアである Checkmk IT Infrastructure に存在する、複数の脆弱性が報告された。これらの脆弱性により、認証されていないリモートの攻撃者が、連鎖的に影響を受けるサーバを完全に乗っ取る可能性が生じている。SonarSource の研究者である Stefan Schiller は、「これらの脆弱性を連鎖させることで、Checkmk 2.1.0p10 以下のサーバ上でのコード実行が、未認証のリモート攻撃者に許されてしまう」と、技術分析で述べている。

Continue reading “Checkmk に複数の脆弱性:IT インフラ監視ソフトウェアに乗っ取りの可能性”

CISA 警告:Advantech/Hitachi の ICS デバイスにおける深刻な脆弱性

CISA Warns of Critical Flaws Affecting Industrial Appliances from Advantech and Hitachi

2022/10/19 TheHackerNews — 18日に米国の CISA は、産業制御システム (ICS)  である Advantech R-SeeNet/Hitachi Energy APM Edge アプライアンスの深刻な脆弱性に関する、2件のアドバイザリを発表した。これらの脆弱性は、R-SeeNet モニタリング・ソリューションの3つの弱点に起因し、悪用に成功した攻撃者は、システム上でのファイル削除/コード実行などが、リモートから可能になるという。

Continue reading “CISA 警告:Advantech/Hitachi の ICS デバイスにおける深刻な脆弱性”

Siemens PLC における深刻な脆弱性 CVE-2022-38465:秘密鍵リークの恐れ

Siemens Not Ruling Out Future Attacks Exploiting Global Private Keys for PLC Hacking

2022/10/11 SecurityWeek — 研究者たちが、Siemens における一部の産業用機器を保護するグローバル秘密鍵を入手できることを実証したが、同社は悪意の試行の可能性は排除できないと述べている。火曜日に Claroty が公開した詳細によると、同社の研究者たちは、PLC 上でネイティブ・コード実行を実現する方法を検討してきたという。そして、発見された脆弱性 CVE-2022-38465 は、Critical と評価されている。Siemens は Patch Tuesday の中で、影響を受ける PLC および TIA Portal に対する修正プログラムの提供を発表している。

Continue reading “Siemens PLC における深刻な脆弱性 CVE-2022-38465:秘密鍵リークの恐れ”

Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし

Auth0 warns that some source code repos may have been stolen

2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD/Siemens/Pfizer/Mazda/Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。

Continue reading “Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし”

Siemens ソフトウェア・コントローラの問題点:Black Hat で研究者が指定する欠陥とは?

Security Researchers Dig Deep Into Siemens Software Controllers

2022/08/12 SecurityWeek — LAS VEGAS – BLACK HAT 2022 — イスラエルの Technion Research 大学の研究者チームは、Siemens のソフトウェア・コントローラの分析を行っており、セキュリティ上の問題を徐々に発見し始めている。研究者たちは、Siemens の PLC (programmable logic controller) を、つまり SoftPLC を分析している。SIMATIC S7-1500 ソフトウェア・コントローラは、ET200SP オープン・コントローラ上で動作し、PLC のセキュリティと産業用 PC の柔軟性を兼ね備えていると言われるものだ。

Continue reading “Siemens ソフトウェア・コントローラの問題点:Black Hat で研究者が指定する欠陥とは?”

ICS Patch Tuesday 2022 August: Siemens/Schneider が 11件の脆弱性に対応

ICS Patch Tuesday: Siemens, Schneider Electric Fix Only 11 Vulnerabilities

2022/08/09 SecurityWeek — ICS Patch Tuesday 2022 August で、Siemens と Schneider Electric が公開した 8件のアドバイザリでは、深刻度 Critical を含む、合計 11件の脆弱性が対応されている。Siemens は、7件の脆弱性を対象とした、4件のアドバイザリをリリースし、Schneider Electric は、4件の脆弱性を対象とした、4件のアドバイザリをリリースした。

Continue reading “ICS Patch Tuesday 2022 August: Siemens/Schneider が 11件の脆弱性に対応”

PLC/HMI パスワード・クラッキング・ツールによるマルウェア配信とは?

PLC and HMI Password Cracking Tools Deliver Malware

2022/07/18 SecurityWeek — HMI/PLC などの産業用製品のパスワードを解読できると主張するツールに、ゼロデイ脆弱性が発見され、これらのツールを使ったマルウェア配信が、脅威アクターにより行われていることが判明した。組織内の産業用システムを担当するエンジニアが、ある日、突然に、更新が必要な PLC/HMI や、プロジェクト・ファイルがパスワードで保護され、ログインできないとうい状況に直面することがある (パスワードの失念や、退職者による設定)。

Continue reading “PLC/HMI パスワード・クラッキング・ツールによるマルウェア配信とは?”

ICS ベンダー 10社に生じた脆弱性 OT Icefall:いくつかの緩和策が提供され始めた

ICS Vendors Respond to OT:Icefall Vulnerabilities Impacting Critical Infrastructure

2022/06/23 SecurityWeek — 先日に公開された脆弱性 OT:Icefall の影響を受ける、複数の Industrial Control System (ICS) ベンダーがアドバイザリを公開し、その影響の詳細について顧客に通知し、緩和策を提供している。OT:Icefall は、Forescout の研究者たちが、OT システムを製造する 10社の製品で発見した、56件の脆弱性の集まりに付けられた名称である。これらの欠陥は、安全が確保されないエンジニアリング・プロトコル/脆弱な暗号化/壊れた認証スキーム、欠陥を伴うファームウェア・アップデート機構/ネイティブ機能の乱用などに関連するものである。

Continue reading “ICS ベンダー 10社に生じた脆弱性 OT Icefall:いくつかの緩和策が提供され始めた”

Siemens SINEC NMS に 15件の脆弱性:リモート攻撃者による任意のコード実行の可能性

Over a Dozen Flaws Found in Siemens’ Industrial Network Management System

2022/06/17 TheHackernews — サイバーセキュリティ研究者たちは、Siemens SINEC network management system (NMS) における 15件のセキュリティ脆弱性の詳細を公開し、そのうちのいくつかの脆弱性を組み合わせることで、攻撃者はターゲットとなるシステム上でリモート・コード実行を達成する可能性があることを明らかにした。

Continue reading “Siemens SINEC NMS に 15件の脆弱性:リモート攻撃者による任意のコード実行の可能性”

ICS Patch Tuesday 2022 May: Siemens/Schneider が 43件の脆弱性に対応

ICS Patch Tuesday: Siemens, Schneider Electric Address 43 Vulnerabilities

2022/05/11 SecurityWeek — ICS Patch Tuesday 2022 May で、Siemens と Schneider Electric が公開した 15件のアドバイザリでは、深刻度 Critical を含む、合計43件の脆弱性が対応されている。Siemens は、35件の脆弱性を対象とした、12件のアドバイザリをリリースし、Schneider Electric は、8件の脆弱性を対象とした、3件のアドバイザリをリリースした。

Continue reading “ICS Patch Tuesday 2022 May: Siemens/Schneider が 43件の脆弱性に対応”

ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX

ICS Patch Tuesday: Siemens, Schneider Fix Several Critical Vulnerabilities

2022/04/13 SecurityWeek — Siemens と Schneider Electric は、April 2022 Patch Tuesday のセキュリティ・アドバイザリで、深刻度が Critical とされる脆弱性 20数件対処している。Schneider Electric は、IGSS (Interactive Graphical SCADA System) 製品に存在する、リモートコード実行の深刻な脆弱性にパッチを適用した。新バージョンのリリースに伴いパッチが適用された脆弱性は、スタックバッファオーバー・フローと説明されており、対象システムに細工されたメッセージを送信することで、悪用される可能性がある。

Continue reading “ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX”

CISA 警告:悪用脆弱性カタログに新旧あわせて 95 件が追加された

CISA warns organizations to patch 95 actively exploited bugs

2022/03/04 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているセキュリティ欠陥のリストに 95件の脆弱性を追加したが、この件数は、昨年に Binding Operational Directive (BOD) を発行してから最多のものとなる。その中には、20年近く前から認識されているバグもあるが、同庁は、「連邦政府の企業にとって重大なリスクをもたらす」と指摘している。

Continue reading “CISA 警告:悪用脆弱性カタログに新旧あわせて 95 件が追加された”

Siemens の PLC をリモートからクラッシュさせる新たな脆弱性とは?

New Vulnerabilities Can Allow Hackers to Remotely Crash Siemens PLCs

2022/02/10 SecurityWeek — 今週に Siemens は、同社の SIMATIC 製品の一部をリモート操作でクラッシュさせる、一連の深刻な脆弱性に対するパッチと緩和策の提供を発表した。ドイツの大手工業企業である Siemens は、火曜日に9つのアドバイザリを公開し、合計 27件の脆弱性に対処した。これらの勧告の1つとして、Siemens の一部の Programmable Logic Controllers (PLCs) および関連製品に対して、リモートの認証されていない攻撃者がサービス拒否 (DoS) 攻撃を仕掛けることができる、3つの深刻度の高い欠陥が記載されている。

Continue reading “Siemens の PLC をリモートからクラッシュさせる新たな脆弱性とは?”

UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響

UEFI firmware vulnerabilities affect at least 25 computer vendors

2022/02/02 BleepingComputer — ファームウェア・プロテクション企業である Binarly の研究者たちは、Fujitsu/Intel/AMD/Lenovo/Dell/ASUS/HP/Siemens/Microsoft/Acer などの、複数のコンピュータ・ベンダーが採用している InsydeH2O の UEFI ファームウェアに、深刻な脆弱性が存在することを発見した。

UEFI (Unified Extensible Firmware Interface) ソフトウェアとは、デバイスのファームウェアとオペレーティング・システムの間のインターフェースであり、起動プロセス/システム診断/修復機能などに対応する。

Continue reading “UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響”

OT 環境での Log4Shell リスク:防御のための最適な手段を探る

Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them

2021/12/19 SecurityIntelligence — Log4Shell の脆弱性を知らない (対応していない) IT 担当者はいない、と言っても過言ではないだろう。オペレーショナル・テクノロジー (OT) の分野も例外ではないが、この脆弱性が OT テクノロジーにおよぼす影響については、まだ完全には解明されていない。今月の初めに公開された、この脆弱性については、最新のパッチ情報を含め、ココで詳細を確認できる。IT 業界は、ネットワークを強化して不正侵入を防ごうとしているが、OT 環境では更に集中的なアプローチが必要になるかもしれない。

Continue reading “OT 環境での Log4Shell リスク:防御のための最適な手段を探る”

NASA/Siemens/Volkswagen などが採用する IoT Protocol のハッキングは可能だ

IoT Protocol Used by NASA, Siemens and Volkswagen Can Be Exploited by Hackers

2021/11/15 SecurityWeek — Data Distribution Service (DDS) と名の、広く使用されているプロトコルに、脅威アクターが様々な目的で悪用できる脆弱性が存在すると、研究者たちが明らかにした。この DDS は、標準化団体である Object Management Group (OMG) が維持管理している、データ接続のためのミドルウェア・プロトコルおよび API 規格であり、ビジネスに不可欠な IoT システムに最適だとされている。

Continue reading “NASA/Siemens/Volkswagen などが採用する IoT Protocol のハッキングは可能だ”

産業制御システム (ICS) に 637件の脆弱性:2021年上半期のレポート

Over 600 ICS Vulnerabilities Disclosed in First Half of 2021: Report

2021/08/19 SecurityWeek — 2021年の上半期において、ベンダー 76社の製品に影響をおよぼす、637件の ICS (Industrial Control System) 脆弱性が明らかになり、そのうち 70%以上が Critical または High の評価を受けている。それに対して、2020年下半期に公開された脆弱性は、449件に過ぎなかった。Claroty の分析によると、2021年上半期に開示されたセキュリティ・ホールにおいて、大部分は特別な条件を必要とせず、4分の3は特権を必要とせず、3分の2はユーザー操作を必要せずに悪用できるという。また、脆弱性の 61% はリモートで悪用でき、65% はサービス妨害 (DoS) 攻撃に利用できるとしており、IT システムに比べて大きな影響を与える可能性があるとしている。

Continue reading “産業制御システム (ICS) に 637件の脆弱性:2021年上半期のレポート”

産業用制御デバイスで用いられる Embedded TCP/IP スタックに深刻な脆弱性

Critical Flaws Affect Embedded TCP/IP Stack Widely Used in Industrial Control Devices

2021/08/03 TheHackerNews — サイバー・セキュリティ研究者たちが公開した 14件の脆弱性は、TCP/IP スタックに影響を与えるものであり、製造工場および、発電所、水処理施設、重要インフラなどで使用されているものであり、また、200社以上のベンダーが製造した、数百万台の OT 機器に影響を与えるものである。

Continue reading “産業用制御デバイスで用いられる Embedded TCP/IP スタックに深刻な脆弱性”

Rockwell MicroLogix PLC にはリモート DoS の脆弱性が存在する

Vulnerability Exposes MicroLogix PLCs to Remote DoS Attacks

2021/07/20 SecurityWeek — Rockwell Automation の MicroLogix 1100 PLC (programmable logic controllers) に存在する深刻度の高い脆弱性を悪用すると、対象となるデバイスが永続的な障害状態に陥る可能性がある。今月に Rockwell と CISA (Cybersecurity and Infrastructure Security Agency) が発表した勧告によると、リモートの認証されていない攻撃者が CVE-2021-33012 を悪用し、特別に細工したコマンドを送信することで、標的とするコントローラでサービス拒否 (DoS) 状態を引き起こすことが可能なる。

Continue reading “Rockwell MicroLogix PLC にはリモート DoS の脆弱性が存在する”

Siemens PLC にリモート攻撃を発生させる脆弱性 CVE-2020-15782

CVE-2020-15782 flaw in Siemens PLCs allows remote hack

2021/05/28 SecurityAffairs — 産業分野におけるサイバー・セキュリティ企業である Claroty の研究者たちは、Siemens PLCs における深刻度の高い脆弱性 CVE-2020-15782 を発見した。この脆弱性を悪用することで、リモートの攻撃者が認証を必要とせずに、メモリ・プロテクションをバイパスする可能性がある。

Continue reading “Siemens PLC にリモート攻撃を発生させる脆弱性 CVE-2020-15782”