セキュリティ企業Armisは、オペレーショナルテクノロジー企業Honeywellと共同で、Honeywell Experion分散制御システムプラットフォームに新たな脆弱性を発見しました。両社によると、これらの脆弱性により、Honeywellのサーバーおよびコントローラー上でマルウェアがリモート実行される可能性があるとのことです。
Armisの研究担当最高情報責任者であるトム・ゴル氏は、ブログ記事の中で、「Crit.IX」と呼ばれるこの脆弱性によってデバイスへのアクセスが可能になり、攻撃者がDCSコントローラーの動作を改変できるようになると述べています。ゴル氏は、この脆弱性により、攻撃者は認証を必要とせずにデバイスに侵入できると指摘しました。
ジャンプ先:
- レガシーシステムは産業インフラを主な標的にする
- Experionのギアに脆弱性が発見される
- ハネウェルの3つのプラットフォームが侵害される
- 運用技術攻撃はどれほどひどいのでしょうか?
- 問題を改善するための手順
DCSコントローラは、製造、発電、石油化学プラント、その他の化学オペレーションにおけるプロセスを管理するために、施設全体に分散されたワークステーションで構成されています。この脆弱性により、攻撃者はネットワークアクセスのみでコントローラやエンジニアリングワークステーションを操作または妨害することが可能になります。
「DCSデバイスと同じネットワーク上にある侵害されたIT、IoT、OT資産は、攻撃に悪用される可能性がある」とGol氏は書いている。
参照: エンジニアリングPCは攻撃を受けるリスクが高い (TechRepublic)
レガシーシステムは産業インフラを主な標的にする
アーミスによると、DCS(監視制御システム)とSCADA(監視制御データ収集システム)はますます脆弱になっている。同社の調査チームはメールで、これらの重要インフラネットワークが魅力的なのは、セキュリティが不十分なレガシーシステムと、多額の金銭的損失の可能性が相まって、サイバー犯罪者やサイバー犯罪者にとって格好の標的となっているためだと説明した。
「これらの脆弱性の1つを悪用することで、攻撃者はネットワーク内のコントローラーをクラッシュさせ、製品の紛失、予定外のダウンタイム、機器の破壊、身体的傷害のリスクを引き起こす可能性がある」と研究者らは述べている。
研究者らは、単一の脆弱性を悪用することで、コントローラーとサーバーの両方でリモートコード実行が可能になり、「攻撃者はコントローラーの動作をサーバー上に隠蔽したまま、その動作を改変することが可能になる」と述べた。このような攻撃は、医薬品バッジや化学物質の漏洩、そして下流の相互接続システムへの電力供給の混乱につながる可能性がある。
Experionのギアに脆弱性が発見される
Golによると、2022年5月、ArmisはHoneywellに対し、Experion C300コントローラーとサーバーに13件のコード問題があり、9件の新たな脆弱性があり、そのうち7件が重大なものであることを確認した。
Armis チームは、複数の方法を組み合わせることで、Honeywell Experion サーバーを侵害し、サーバーを実行しているエンジニアリング ワークステーションを制御し、それを拠点として横方向に移動してネットワーク内で攻撃を実行する可能性があると説明しました。
研究チームによると、CDAプロトコルの脆弱性により、攻撃者がコントローラと同じネットワークセグメントにアクセスし、メモリ破損によるクラッシュやサービス拒否を引き起こす可能性があるという。
「これらの脆弱性と影響の深刻さを考慮し、ハネウェルとアーミスは協力してこれらの発見を調査し、根本的な問題を理解し、パッチの適用に取り組んできました」とゴル氏は記し、ハネウェルはセキュリティパッチを公開し、影響を受けるすべての顧客にこれらのパッチを直ちに適用するよう強く勧めたと付け加えた。
ハネウェルの3つのプラットフォームが侵害される
Amis によると、Honeywell Experion DCS プラットフォーム 3 つが影響を受け、次の製品が危険にさらされている。
- Experion プロセス ナレッジ システム プラットフォーム。
- LX および PlantCruise プラットフォーム (エンジニアリング ステーションおよびダイレクト ステーション)。
- 3 つのプラットフォームすべてで使用される C300 DCS コントローラー。
重大な問題は、Honeywell ExperionサーバーとC300コントローラー間の通信に使用されているHoneywell CDAプロトコルの旧バージョンには、暗号化と適切な認証メカニズムが欠けていることです。この欠陥により、ネットワークにアクセスできる人なら誰でもコントローラーとサーバーになりすますことができるとGol氏は記しています。さらに、CDAプロトコルの設計上の欠陥によって発生する可能性のあるバッファオーバーフローも問題となり、データ境界の制御が困難になるとGol氏は付け加えました。
運用技術攻撃はどれほど危険か?コロニアル・パイプラインに聞く
「ここ数年、運用技術(OT)を標的とした注目すべき攻撃や脆弱性が着実に増加しており、重要なインフラシステムが直面するリスクの増大が浮き彫りになっています」とゴル氏は述べ、2021年5月に発生した悪名高いコロニアル・パイプライン・ランサムウェア攻撃と、2022年にイランの製鉄所を「プレデタリー・スパロウ」グループが攻撃し、大規模な火災を引き起こしたと主張した例を挙げた。
参照:ランサムウェア攻撃は3月に91%増加(TechRepublic)
問題を改善するための手順
Armisの研究チームは、これらの脆弱性とその影響の深刻さから、ハネウェルとArmisは協力してこれらの発見を調査し、根本的な問題を理解し、パッチを開発していると述べた。
「ハネウェルは9つの脆弱性すべてに対するセキュリティパッチを公開しており、影響を受けるすべての組織に速やかに適用することを強く推奨します」と研究チームはメールで述べています。ハネウェルの顧客はhttps://process.honeywell.com/にログインし、技術出版物セクションを検索することでパッチにアクセスし、適用できるとのことです。
「Armisは今後数週間から数か月かけて、これらの脆弱性についてさらに深く調査し、議論を進めていく予定だ」と彼らは述べた。
