Tridium Niagaraフレームワークに重大な脆弱性が発見される

Tridium Niagaraフレームワークに重大な脆弱性が発見される

TridiumのNiagara Framework®は、ビル管理、産業オートメーション、スマートインフラ環境における多様なデバイスを接続、管理、制御するために設計された最先端のソフトウェアフレームワークです。これは、HVAC、照明、エネルギー管理、セキュリティなどのさまざまなシステムをシームレスに相互運用できるようにするミドルウェアプラットフォームとして機能し、世界中のさまざまな業界のモノのインターネットIoT)技術にとって重要なバックボーンとなっています。

最近、Nozomi Networks 研究者がTridium Niagara Framework®に影響を与える13の脆弱性を発見した。最近、Nozomi Networks 研究者は、Tridium Niagaraフレームワークに影響を与える13の脆弱性を発見しました。これらの脆弱性は、Niagaraシステムの設定が誤っている場合に完全に悪用され、特定のネットワークデバイスの暗号化を無効にします(セキュリティダッシュボードに警告が表示されます)。しかし、これは特定のネットワークサービスが暗号化されずに設定されていることに依存するため、攻撃者はネットワークから機密データを収集することができます。

これに対し、トリディウムは迅速にセキュリティ勧告を発表し、これらの脆弱性に対応するパッチをリリースした。

このブログポストでは、Tridium Niagara Framework®で発見された知見、その潜在的な影響、および推奨される緩和策について説明します。

リサーチ範囲

Tridium (a Honeywell company)によって開発されたNiagara Framework®(以下「Niagara」)は、単一の環境内で多様なオペレーションシステムとデバイスを統合、管理、制御するために広く採用されているプラットフォームです。

ナイアガラは、異なるメーカーのセンサー、コントローラー、機器を接続し、それぞれの通信プロトコルを統一されたデータモデルに変換する、ベンダーニュートラルなソリューションを提供します。

技術的な観点から見ると、ナイアガラは2つの主要なソフトウェア・コンポーネントで構成されており、1つのハードウェア・デバイス上にインストールされ、両方が動作する:

  • プラットフォームは、ナイアガラステーションの作成、デプロイ、実行、監督に必要なコアサービスを提供する基礎となるソフトウェア環境です。
  • ステーションは、デバイスと通信し、データを処理し、監視と制御のためのユーザーインターフェ イスを提供するオペレーションコンポーネントである。

これら2つのコンポーネントは、エンジニア、開発者、インテグレーターのための主要なグラフィカル・ユーザー・インターフェースとして機能する、統合開発・設定ツールであるNiagara Workbenchを通じて管理することができます。

図1 - Niagara Workbenchのメイン・インターフェース。

ナイアガラは重要なシステムを接続することが多く、時にはIoT 技術と情報技術(IT)ネットワークの橋渡しをすることもあるため、価値の高い標的となる可能性があります。ナイアガラの脆弱性は、デジタル資産を脅かすだけでなく、商業用不動産、ヘルスケア、輸送、製造、エネルギーなどのセクター全体の安全性、生産性、サービスの継続性に影響を与え、他の現実世界の結果につながる可能性があります。

脆弱性の潜在的影響

これらの脆弱性は、ナイアガラ・システムが誤って設定され、特定のネットワーク・デバイスの暗号化が無効化された場合(セキュリティ・ダッシュボードに警告が表示される)、完全に悪用される可能性があります。これにより、以下のことが可能になります:

  • 横移動 (T1210 - リモートサービスの悪用):攻撃者は侵害されたデバイスを橋頭堡として、組織のネットワークを横 断し、他のIoT ITシステムを標的にする可能性があります
  • 運用の中断 (T1499 - エンドポイントサービス拒否):悪意のある行為者は、ビルオートメーションプロセスを変更したり、重要なシステムを無効にしたり、より広範な機能停止を引き起こしたりする可能性があり、安全性のリスク、サービスの中断、金銭的損失につながる。

ナイアガラを搭載したシステムによって制御される重要な機能を考えると、インスタンスがトリディウムのハードニング・ガイドラインとベストプラクティスに従って構成されていない場合、これらの脆弱性は運用の回復力とセキュリティに高いリスクをもたらす可能性があります。

脆弱性リストと影響を受けるバージョン

Nozomi Networks 、Niagara Frameworkバージョン4.13にこれらの脆弱性を発見した。さらに、以下のバージョンも影響を受けることが確認された:

  • Niagara FrameworkおよびNiagara Enterprise Securityバージョン4.10u10以前
  • Niagara FrameworkおよびNiagara Enterprise Securityバージョン4.14u1以前

以下の表は、Tridium が確認した脆弱性の一覧である。確認された13件の問題のうち5件が2つのCVEに統合され、合計10件のCVEが存在することに注意してください。結果は、CVSS 3.1スコアで最も深刻なものから最も深刻でないものへとソートされています。

CVE IDCWECVSS v3.1 ベーススコアCVSS v3.1 ベクトル
CVE-2025-3937不十分な計算努力によるパスワードハッシュの使用 (CWE-916)7.7cvss:3.1/ av:n/ac:l/pr:l/ui:n/s:c/c:h/i:n/a:n
CVE-2025-3944クリティカルリソースに対する不正なパーミッション割り当て (CWE-732)7.2CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2025-3945コマンド中の引数デリミタの不適切な中和('Argument Injection') (CWE-88)7.2CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVE-2025-3938暗号化ステップの欠落 (CWE-325)6.8cvss:3.1/ av:n/ac:l/pr:h/ui:n/s:c/c:h/i:n/a:n
CVE-2025-3936クリティカルリソースに対する不正なパーミッション割り当て (CWE-732)6.5CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
CVE-2025-3941Windows の不適切な取り扱い:DATA 代替データストリーム (CWE-69)5.4cvss:3.1/ av:n/ac:l/pr:l/ui:n/s:u/c:l/i:l/a:n
CVE-2025-3939観測可能な応答の不一致(CWE-204)5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2025-3940検証フレームワークの不適切な使用 (CWE-1173)5.3cvss:3.1/ av:n/ac:l/pr:n/ui:n/s:u/c:n/i:l/a:n
CVE-2025-3942ログの不適切な出力中和 (CWE-117)4.3cvss:3.1/av:n/ac:l/pr:l/ui:n/s:u/c:n/i:l/a:n
CVE-2025-3943機密性の高いクエリ文字列を含むGETリクエストメソッドの使用 (CWE-598)4.1cvss:3.1/ av:n/ac:l/pr:l/ui:r/s:c/c:l/i:n/a:n

脆弱性スポットライト

上記の脆弱性を注意深く分析した結果、攻撃者がネットワーク内部(隣接攻撃者)にアクセスすることから始め、 ネットワーク内のナイアガラベースのターゲットデバイスを侵害することを可能にする、説得力のある攻撃チェーンを特定 しました。これには、Station と Platform の両方を侵害し、最終的にデバイス自体でルートレベルのリモートコード実行(RCE)を達成することが含まれます。

攻撃の連鎖には2つの脆弱性が絡んでいる。

CVE-2025-3943

ナイアガラフレームワークは、状態を変更するすべてのHTTPリクエストを検証し、クロスサイトリクエストフォージェリ攻撃を防ぐためにCSRFトークンを採用しています。しかし、分析の結果、CSRFリフレッシュ・トークンはナイアガラ・ワークベンチ・ソフトウェアによって /コード エンドポイント、特に スパイ 機能を使用する。 ゲット メソッドを使用します。GET リクエストで送信されたデータは多くの場合ログに記録され、CSRF トークンはセッション全体で変更されないため、攻撃者はログから CSRF トークンを取得し、悪意のある CSRF 攻撃に悪用することができます。以下は /コード エンドポイントに CSRF リフレッシュ・トークンを GET メソッドで渡します。

GET /ord?spy:/sysManagers/networkInterfaceManager/refresh$3ftoken$3dbcx9KdRC5Yf ml$2f5D2SeoZ9fnafUi7cvW HTTP/1.1

Niagara Workbench の管理パネルと対話すると、さまざまな HTTP 要求を通じて CSP 違反レポートが頻繁にトリガされることを強調しておきます。その結果、refresh anti-CSRF トークンを含む要求がログに記録されます。さらに、Syslog が有効になっている場合、これらのログは、暗号化されていないチャネルを介してネットワーク経由で送信される可能性があり、トークンが暴露されるリスクが高まります。

以下は、特定の CSP に送信された CSP レポートの生成例である。 /CSPレポート エンドポイントである:

POST /csp-reports HTTP/1.1
Host: station.local
Cookie: niagara_userid=admin; niagara_origin_uri=%2Ford;
JSESSIONID=5568690f244c1dd87cc4dee8bd43da5baa61c8b2c0abd6ba28.node0
Content-Length: 737
...

{"csp-report":{"document-uri":"https://station.local/ord spy:/sysManagers/networkInterfaceManager/refresh$3ftoken$3dbcx9KdRC5Yfml$2f5D2SeoZ9fnafUi7cvW","referrer":"","violated-directive":"font-src","effective-directive":"font-src","original-policy":"connect-src 'self' workbench ws://station.local:443 wss://station.local:443; default-src 'self' workbench; img-src 'self' workbench data: module:; report-uri /csp-reports; script-src 'self' workbench 'unsafe-inline' 'unsafe-eval'; style-src 'self' workbench 'unsafe-inline'","disposition":"enforce","blocked-uri":"http://station.local/module/themeZebra/fonts/SourceSansPro-Regular.otf.woff","line-number":1,"source-file":"https://station.local/ord","status-code":200,"script-sample":""}}

CSP 違反レポートはさらに、Syslog を介してネットワーク上に送信される以下のログを生成します。

図2 - シスログを通じてネットワーク上に送信されるアンチCSRFトークン。

その結果、Syslogサービスが暗号化されていないチャネルを使用してデータを送信するように構成されている場合、ネットワーク・トラフィックをスニフする能力を持つ隣接する攻撃者(例えば、MiTM攻撃を通じて)は、アンチCSRFリフレッシュ・トークンを傍受することができる。

CVE-2025-3944

Niagara Framework®は、管理者が機密ファイルにアクセスしたり変更したりすることを制限するセキュアなファイル転送機能を提供します。 /etc/dhcpd/dhcpd.conf ファイルを上書きすることができます。管理者権限を持つ認証済みの攻撃者は、このファイルを上書きして特定の dhcpd.conf フック コミット時, リリース時そして 期限切れ - rootで任意のコードを実行する ナイアガラ QNX ベースのオペレーティング・システム上の特権。

以下はオンコミットフックの例である。 dhcpd.conf ファイルのようなルートで読み取り可能なファイルの内容の流出を引き起こす可能性がある。 /etc/passwd そして /etc/shadow の中にデータを保存する。 /tmp/out ファイル。

on commit {
execute("/bin/sh", "-c", "/proc/boot/ping -c 4 192.168.45.237; echo 'passwd:\n' > /tmp/out; cat /etc/passwd >> /tmp/out; echo '\nshadow:\n' >> /tmp/out; cat /etc/shadow >> /tmp/out; echo '\nopasswd:\n' >> /tmp/out; cat /etc/opasswd >> /tmp/out; echo '\noshadow:\n' >> /tmp/out; cat /etc/oshadow >> /tmp/out");
}

攻撃の前提条件

この攻撃連鎖を成功させるには、2つの条件を満たす必要がある:

  • 攻撃者は、Tridium Niagara デバイスを発着するトラフィックをスニッ フするか、MitM(Man-in-the-Middle)攻撃を実行できなければなりません。
  • Syslog機能を有効にし、ログを暗号化せずにSyslogサーバーに転送するように設定する必要があります(この設定は、セキュリティダッシュボードに警告を表示します)。

図 3 は、ナイアガラ・ベースの Tridium Jace 8000 がローカル・ネットワーク上に配置されている場合に考えら れる攻撃シナリオを示している。

図3 - 攻撃シナリオ。

これらの前提条件が満たされれば、攻撃者は以下のステップを実行できる:

1.ネットワーク経由で送信されるアンチ CSRF リフレッシュ・トークンを傍受する(CVE-2025-3943):前述の通り、CVE-2025-3943を 悪用することで、ネットワークをスニッフィングしている隣接攻撃者は、ナイアガラ・ワークベンチ・ソフトウェアによって生成されたCSP違反レポートによってネットワーク経由で送信されるアンチCSRFトークンを傍受するために、Syslogネットワーク・トラフィックを分析することができます(図4)。

図 4 - 攻撃者は MiTM 攻撃によってアンチ CSRF トークンを取得する。

2.ログ収集のエスカレーション:アンチCSRFリフレッシュトークンを取得した後、攻撃者はCSRF攻撃を偽造し、管理者を騙して以下のような細工されたリンクにアクセスさせます。 /ord?spy:/logSetup/ALL- web.jetty$3ftoken$...のログレベルを変更する。 ウェブジェッティ コンポーネント すべて.この設定により、すべての受信HTTPリクエストとレスポンスの内容が完全にログに記録されます(図5 - ステップ1と2)。

3.セッション・ハイジャック:ネットワーク経由で送信された Syslog データを分析することで、攻撃者は管理者の JSESSIONID セッショントークンを抽出します。このセッション ID を使って、攻撃者は完全な管理者権限でステーションに接続し、永続的なアクセスのために新しいバックドア管理者ユーザーを作成します(図 5 - ステップ 3 と 4)。

図 5 - 攻撃者は JSESSIONID トークンを得るために CSRF 攻撃と追加の MiTM 攻撃を実行する。

4.証明書の盗難によるプラットフォームの侵害:管理者アクセスを利用し、攻撃者はデバイスの TLS 証明書に関連付けられた秘密鍵をダウンロードするため の専用機能を悪用する。ステーションとプラットフォームの両方が同じ証明書と鍵インフラを共有しているため、攻撃者はデバイスに対す る今後の全てのセッションを、たとえそれが TLS で暗号化されていたとしても、MitM することができます。これでプラットフォームへのフルアクセスが可能になりました(図 6)。

図6 - 攻撃者はナイアガラ・ステーションと対話し、TLS秘密鍵をダウンロードし、最終的にプラットフォームのトラフィックを傍受する。

5.ルート・リモート・コード実行(RCE):攻撃者はプラットフォームを制御することで、デバイス上でルートレベルの RCE を提供する脆弱性 CVE-2025-3944 を直ちに悪用し、完全な乗っ取りを達成します。

最終的な RCE ステップが追求されなくても、このテクニックは、Windows システム上で実行されるインストールを含む、Station と Platform 環境の両方を完全に危険にさらすことができます。

緩和策と提言

Tridiumは、Niagara Frameworkのセキュリティパッチによってこれらの脆弱性に対処しました。トリディウム製品のセキュリティチームにより、セキュリティレポートが発表されました。資産所有者および運営 者は、以下のことを強く推奨します:

  • 詳細なガイダンスについては、Tridium のセキュリティアドバイザリを参照してください
  • 影響を受けるNiagaraのインストールを、できるだけ早く最新のパッチ付きバージョンに更新してください
  • ネットワークのセグメンテーションを実施し、システムの露出を制限する。
  • 例えば、Nozomi Networks Guardian の脆弱性と脅威の検出機能を使用して、ナイアガラデバイスに関連する脆弱な資産や不審なアクティビティが存在しないか、ネットワークトラフィックを監視 します。詳しくは、デモをご請求ください

重要なインフラを保護し、業務の完全性を維持するためには、迅速な対応が不可欠である。

図7 - 脆弱なデバイスの検出。
図8 - CVE-2025-3945に対する悪用の試みの検出。
見つかりませんでした.
見つかりませんでした.
見つかりませんでした.