SEL社製リアルタイム・オートメーション・コントローラに19の新たな脆弱性が発見される

都市が成長と進化を続けるにつれ、その複雑なインフラを管理する課題も増えている。スマートシティの中心にあるのは、変電所を含むさまざまなソースからリアルタイムデータを収集・処理する先進的なシステムとデバイスです。電力消費の監視からエネルギー配給の最適化まで、変電所のリモート・ターミナル・ユニット(RTU)は、インフラを改善し、リソースを効率的に監視・管理しようとする都市にとって不可欠なツールとなっています。

シュバイツァー・エンジニアリング・ラボラトリーズ(SEL)は、電力業界向けの電子システムやコンポーネントの設計・製造に特化した企業である。SELの製品とサービスには、電力系統の保護、自動化、制御ソリューションのほか、通信、サイバーセキュリティ技術などがある。同社の顧客は、電力会社や発電所運営会社から産業施設やデータセンターまで多岐にわたる。

Nozomi Networks SEL Realtime Automation Controller (RTAC) が動作する SEL-3350 コンピューティングプラットフォームをテストする機会がありました。このブログでは、SEL-2241、SEL-3530、SEL-3530-4、SEL-3505、SEL-3505-3、SEL-3532-1、SEL-3532-4、SEL-3350、SEL-3555、および SEL-3560 で利用可能な RTAC プラットフォームのウェブインターフェースに影響する 19 件の脆弱性を公開します。これらの問題により、攻撃者はウェブインタフェースへの不正アクセス、表示情報の変更、ロジックの操作、中間者攻撃(MitM)の実行、または任意のコードの実行が可能になる可能性がありました。Nozomi Networks ラボは2022年11月にこれらの脆弱性についてSELに警告した。SEL は、脆弱性の詳細を共有し、影響を受ける顧客に配布された 11/15/22 付きの SEL Service Bulletin でファームウェア・アップデートの指示を提供することで対応した。

SEL RTACの脆弱性が発見される  

SEL RTACのウェブベースのHMIを分析したところ、以下の19の脆弱性が見つかった：

重大なリスク：

1. CVE-2023-31148:不適切な入力検証 (CWE-20),CVSS v3.1 ベーススコア: 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)

2. CVE-2023-31149:不適切な入力検証 (CWE-20),CVSS v3.1 ベーススコア: 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)

リスクが高い：

3. CVE-2023-31150:復元可能な形式でのパスワードの保存 (CWE-257), CVSS v3.1 ベーススコア: 8.0 (AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)  

中程度のリスクだ：

4. CVE-2023-31151:不適切な証明書の検証 (CWE-295), CVSS v3.1 ベーススコア: 4.7 (AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N)

5. CVE-2023-31152:代替パスまたはチャネルを使用した認証バイパス (CWE-288), CVSS v3.1 Base Score: 4.7 (AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N)  

6. CVE-2023-31153:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

7. CVE-2023-31154:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

8. CVE-2023-31155:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 Base Score: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

9. CVE-2023-31156:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

10. CVE-2023-31157:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 Base Score: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

11. CVE-2023-31158:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

12. CVE-2023-31159:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

13. CVE-2023-31160:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

14. CVE-2023-31161:不適切な入力検証 (CWE-20), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

15. CVE-2023-31163:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

16. CVE-2023-31164:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 Base Score: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

17. CVE-2023-31165:ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3.1 ベーススコア: 4.3 (AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L)  

18. CVE-2023-31166:制限付きディレクトリへのパス名の不適切な制限 ('Path Traversal') (CWE-22), CVSS v3.1 Base Score: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)  

リスクは低い：

19. CVE-2023-31162:不適切な入力検証 (CWE-20), CVSS v3.1 ベーススコア: 3.8 (AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)  

影響

最も影響の大きい脆弱性は、CVE-2023-31148、CVE-2023-31149、CVE-2023-31150です。

• CVE-2023-31148と CVE- 2023- 31149は、2つの認証されたコマンドインジェクションの問題で、ネットワーク書き込み権限を持つユーザーであれば、OS上でrootとしてコマンドを実行することが可能です。テストでは、両方の脆弱性を悪用し、デバイス上で root のリバースシェルを取得することに成功しました。
  ‍
• CVE-2023-31150は 、ユーザー・パスワードが、可逆的であることが証明された、追加的でレガシーな暗号化されたフォーマットで保存されることによって誘発される脆弱性である。基礎となる OS にアクセスできるユーザーであれば誰でも、システム内で暗号化された認証情報の平文バージョンを取り出すことができます。これらの認証情報が他のデバイスで再利用された場合、それらのデバイスへの完全な権限でのアクセスが許可される。

これらのバグを悪用するには、何らかの形で認証されたアクセスが必要ですが、この要件は、他の脆弱性のいずれかを活用することで回避することができます。例えば、発見されたクロスサイト・スクリプティング(XSS)の欠陥の多くは、認証されたユーザーを騙して1つのリンクをクリックさせたり、悪意のあるウェブページを閲覧させたりすることで、特権を持たないリモート攻撃者に蓄積され、悪用される可能性があることに気づきました。攻撃者がデバイスとアップストリームサーバー間の通信の途中に入り、プロキシする機会があれば、CVE-2023-31151により、ソーシャルエンジニアリング段階を回避し、TLSで保護された通信が存在する場合でも、任意のHTML/JavaScriptコードでレスポンスを汚染することができます。

最悪の場合、これらの脆弱性のいくつかを連鎖させ、マルチステップ攻撃を行うことで、認証されていないリモート攻撃者がデバイスのコア機能を変更し、オペレータに表示される情報やデバイス自体の設定を改ざんすることが可能になる。さらに、同じ認証情報で保護されている他のすべてのシステムへのアクセス権を取得することができ、電力インフラ内で容易に横方向に移動することができる。

修復

我々は、資産所有者に対し、権限のない脅威行為者によるシステムの悪用を防ぐため、2022 年 11 月 15 日付で SEL が該当する顧客に配布した SEL Service Bulletin に記載されているアップデート・ファームウェアを速やかに適用すること(または、より新しいファームウェア・リリー スを適用すること)を推奨する。

概要

変電所RTUは、スマートシティソリューションの開発と実装において重要な役割を果たします。リアルタイムのデータと分析を提供することで、都市はエネルギーインフラについて情報に基づいた意思決定を行うことができ、効率性、持続可能性、回復力の大幅な改善につながります。変電所RTUのスマートシティネットワークへの統合は、エネルギー消費の削減、停電対応時間の改善、資産管理の改善といったメリットをすでにもたらしましたが、他のスマートデバイスと同様に、サイバー敵にとっての新たな機会ももたらしました。

この記事では、SEL RTAC プラットフォームのウェブ・インターフェイスに影響を及ぼし、不正アクセ ス、データ改ざん、その他の影響をもたらす可能性のある 19 の脆弱性を明らかにした。我々は、資産所有者に対し、利用可能なファームウェア・アップグレードを適用し、敵対者がこ れらの脆弱性を悪用することを防ぐよう強く要請する。