Nozomi Networks Phoenix Contact Labs は、Phoenix Contact Web Panel 6121-WXPS デバイス(ファームウェアバージョン 3.1.7)に 14 件の脆弱性を発見しました。調査の結果、このデバイスは、リモート攻撃者に悪用され、完全に侵害される可能性のあるいくつかの重大な問題の影響を受けていることが判明しました。最も重大な脆弱性は、WP 6121-WXPS のデフォルトで公開されている 2 つの主要ネットワークサービス(すなわち、HTTPS ウェブサーバと SNMP プロトコル)に影響し、ターゲットデバイスのメンテナンス操作(ファームウェアの更新など)を実行します。
我々が発見した問題に対して、フエニックス・コンタクト社は、報告されたすべての脆弱性に対処した新しいファームウェア・リリース(v4.0.10)を作成し、これらの問題は6121-WXPSデバイスだけでなく、WP6000製品ファミリー全体に影響を及ぼすと断言した。
このブログでは、3 回シリーズの第 1 回として、脆弱性のある WP6000 HMI を使用する ICS インフラストラクチャにおいて、当社が発見した脆弱性の概要とその最も重大な影響について説明します。次のシリーズのブログでは、ターゲット・デバイスを分析し、発見した問題を悪用するために使用した手法など、私たちのセキュリティ調査について、より詳細な技術的詳細を説明します。
フエニックス・コンタクトのHMI製品背景情報
フエニックス・コンタクト社は、PLC、産業用PC、HMIパネルなど、産業用オートメーションおよび制御システム向けの幅広い製品を提供するドイツの大手機器メーカーです。フエニックス・コンタクトのベンダー製品は、産業用オートメーションおよび制御システム、産業用通信、IoT など、さまざまな業界で使用されています。
フエニックス・コンタクト社製のWP 6121-WXPSデバイスは、WP6000ファミリーのHMI製品群のひとつです。ウェブパネルは、インターネットからアクセス可能なHMIタッチパネルで、オートメーションソリューションまたは制御システムの監視のために、視覚的な表示、制御機能、および状況認識を提供するために使用されます。
発見された脆弱性
調査の結果、フエニックス・コンタクト社製 WP 6121-WXPS には、リモートの攻撃者に悪用され、デバイス、ひいては接続された産業用制御システムを完全に侵害する可能性のある、いくつかの重大な問題が存在することが判明しました。
我々が特定し、ベンダーに報告した脆弱性は、以下のファームウェア・イメージに影響する:
- ファイル名:wp6000_snmp_complete_v3.1.7.zip
- バージョン: v3.1.7
- チェックサム(SHA256):9d5448b71a8f26e92d130143f7989e594da6c99d79252350b451525f28d1afec
以下は、Nozomi Networks Labs チームによって発見・公表された14の脆弱性のリストで、危険度の高い順に並んでいる:
クリティカル
- CVSSベーススコア:9.9
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
- CVSSベーススコア:9.9
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
- CVSSベーススコア:9.9
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
- CVSSベーススコア:9.9
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
高い
- CVSSベーススコア:8.6
- CWE-862:認証の欠落
- CVSSベーススコア:8.8
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
- CVSSベーススコア:8.2
- CWE-862:認証の欠落
- CVSSベーススコア:7.2
- CWE-78:OSコマンドで使用される特殊要素の不適切な中和(OSコマンドインジェクション)
- CVSSベーススコア:7.2
- CWE-494:整合性チェックのないコードのダウンロード
- CVSSベーススコア:7.2
- CWE-269:不適切な特権管理
ミディアム
- CVSSベーススコア:4.3
- CWE-610:外部制御による他圏リソース参照
- CVSSベーススコア:4.3
- CWE-610:外部制御による他圏リソース参照
低い
- CVSSベーススコア:3.8
- CWE-798:ハードコードされた認証情報の使用
- CVSSベーススコア:3.8
- CWE-798:ハードコードされた認証情報の使用
影響と攻撃シナリオ
上記の脆弱性の最も重大な影響は、WP 6121-WXPS イーサネット・インターフェース上でデフォルトで公開されている 2 つの主要なネットワーク・サービス(すなわち、HTTPS ウェブ・サーバと SNMP プロトコル)に影響します。これらのサービスは、SNMP プロトコルを介したファームウェア・アップデートなど、ターゲット・デバイスのメンテナンス・オペレーションを実行するために必要です。
正確な脅威モデルは、フエニックス・コンタクトHMIが配置されるネットワークの最終的なインフラストラクチャに依存しますが(つまり、すべてのクライアントがそのニーズに基づいて構成できます)、ITオペレータがコントロールセンターのワークステーションから日常的な監視タスクを実行できるように、WP 6121-WXPSイーサネットインターフェイスは、ローカルまたはリモートのネットワークポイントから到達可能であると想定できます。
フエニックス・コンタクト HMI が適切に保護されておらず(ゾーン 2 のファイアウォールが誤って設定されているなど)、ネットワークに配置された攻撃者が HMI が公開する脆弱なサービスを閲覧できる場合、ここで説明したセキュリティの脆弱性を悪用してフエニックス・コンタクト WP 6121-WXPS HMI の管理者アクセス権を取得することが可能です。前述のとおり、攻撃者は HTTPS サービスと SNMP サービスの両方の脆弱性を悪用して、この目的を達成できることがわかりました。
HTTPS を介してターゲット・デバイスを侵害するために、攻撃者は、以前報告した重大な問題(すなわち、CVE-2023-3570、CVE-2023-3571、CVE-2023-3572、または CVE-2023-3573)のいずれかを悪用することができます。HTTPS ウェブサービスのソフトウェアの欠陥により、脆弱なコンポーネントに、基盤となるシステム上で任意のコマンドを実行させることが可能です。このアプリケーションは root 権限で実行されるため、これらの動作は全て管理者権限で実行されます。
SNMPを通じてターゲット・デバイスを侵害するには、以下の脆弱性を悪用し、連鎖させる必要がある:
- cve-2023-37860:HTTPS ウェブサービスによって公開されている非認証 API を利用することで、 SNMPv2 プロトコルで認証メカニズムとして使用されている "read" および "write" コミュニティ文字列を取得することが可能です。
- CVE-2023-37859我々は、SNMP サービス (すなわち Net-SNMP) が root 権限で実行され、拡張 MIB "NET-SNMP-EXTENDED-MIB" がロードされていることを確認しました。他の研究者が以前指摘したように([1]、[2])、この拡張機能を悪用すると、SNMP エージェントを通じて任意のシェルスクリプトを実行できる可能性があります。この条件により、CVE-2023-37860 の脆弱性を悪用し、認証なしで書き込みコミュニティ文字列を取得した後、攻撃者は脆弱なデバイス上で管理シェルを取得することができます。
- CVE-2023-37863:この脆弱性は、独自の MIB(ファームウェア・イメージに添付されているPXC-WP6K-MIB.mib)に よってファームウェア・アップデートプロセスを実装している共有ライブラリをリバース・エンジニアリン グした結果、発見された新しい知見の一部である。具体的には、この機能が、システム上で任意のコマンドを実行するために悪用される可能性のある 「OS コマンド・インジェクション」の脆弱性の対象であることを発見した。
責任ある情報開示プロセスとベンダーの軽減策
2023年4月、フエニックス・コンタクトの製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)に、すべての調査結果を責任を持って開示しました。調査結果と文書を受け取ったPSIRTは、直ちに私たちの勧告を確認し、問題に対処するための改善計画に着手しました。
私たちの脆弱性を確認した後、ベンダーは、私たちが発見した問題が以下の製品にも影響を及ぼすことを確認した:
表1.フエニックス・コンタクト社製品のリストと影響を受けるファームウェアのバージョン。
フエニックス・コンタクト社は、この調査結果を受け、報告されたすべての脆弱性に対応した新しいファームウェア・リリース(v 4.0.10)を開発しました。
この研究の技術的な詳細については、後編をお楽しみに。
