電力業界では、変電所の効率と信頼性を高めるために、保護、自動化、湾内制御システムが使用されています。これらのソリューションは、送電網の問題を迅速に発見するためのリアルタイム・モニタリングに依存している。この監視が中断されると、問題の検出と対応が妨げられ、送電網が広範囲に停電しやすくなる。
シュバイツァー・エンジニアリング・ラボラトリーズのSEL-451を分析したところ、当社のセキュリティ・リサーチ・チームは、連鎖的にDoS状態を引き起こし、送電網を監視する機能を停止させる可能性のある5つの脆弱性を発見しました。脅威者は、認証を迂回するか、認証情報を持つ被害者を騙して悪意のあるリンクをクリックさせることでアクセス権を獲得し、その後、任意の時間無効化できる別の脆弱性を悪用することができる。SELは発見された欠陥を認め、最新の公式ファームウェアリリースで解決した。
このブログでは、SEL-451 の基本を紹介し、発見された脆弱性の影響を説明し、最も重要な脆弱性の詳細な分析を行います。最後に、資産所有者がこれらの問題を修復するための推奨事項を紹介します。これは、SELの機器について行われた一連の分析の最新版であり、リアルタイム・オートメーション・コントローラと エンジニアリング・ワークステーションに脆弱性が見つかりました。
SEL-451プロテクション、オートメーション、ベイ・コントロール・システム
上述したように、保護、自動化、湾内制御システムは、電力系統の信頼性、効率性、安全性の確保に役立っている。これらの相互接続システムは、電力網を監視、制御、保護し、消費者へのシームレスな電力供給を保証します。
保護システムは、短絡や過負荷から絶縁不良のようなより深刻な事象まで、電力系統における障害や妨害に対する防御の第一線です。保護システムの主な目的は、これらの異常を迅速に検出し、システムの影響を受ける部分を隔離して、広範囲の停電や機器の損傷を防ぐことです。
SEL-451は、1台で完全な変電所ベイ制御を実現するスタンドアロンシステムです。2ブレーカー制御と高速ブレーカー故障検出で構成され、高インピーダンス故障検出と過電流保護システムが統合されています。モーターで動作するスイッチ、コンデンサバンク、フィールドI/Oは、リレーのフロントパネルから、またはTelnetコマンドラインインタフェースを介してイーサネットネットワークからリモート制御できます。
本機には、HTTPウェブ・アプリケーションを有効にするオプションがある。読み取り専用ページには、利用可能な設定、測定、ステータス・レポートのサブセットが表示され、アクティブなウェブページにはファームウェア・アップグレードが表示されます。このファームウェア・アップグレード・ページでは、ユーザーが新しいファームウェア・イメージをデバイスにアップロードし、ウェブ・ブラウザーからアップグレード・プロセスを開始することができます。
我々の調査によって発見された脆弱性は、この HTTP ウェブ・アプリケーションで見つかった。以下では、可能性のある攻撃ベクトルと共に、これらの脆弱性が可能にする影響について議論します。そして、特定された脆弱性の全リストと、最も関連性の高い脆弱性に焦点を当て、利用可能な改善策を提供します。
これらの脆弱性の影響は?
我々が発見した5つの脆弱性によってもたらされる影響は、そのほとんどが2つのグループに分類できる:
- 認証バイパス:適切な認証を持たない悪意のある行為者は、ウェブ・インターフェースのログイン・ページを3つの方法で迂回し、認証されたユーザーの権限でアクセスする可能性があります。この侵入は、ネットワーク内の攻撃者だけでなく、デバイス上でブラウジング・セッションを持つユーザーを騙してリンクをクリックさせたり、悪意のあるページにアクセスさせたりするリモートのインターネット上の敵対者にも可能です。
- サービス妨害(DoS):攻撃者は、ウェブアプリケーションの認証されたセクション内の別々のファンクションにあるウェブ・インターフェースの2つの弱点を利用して、デバイスを強制的にDoS状態にすることができます。特筆すべきは、これらの弱点の一つを悪用すると、デバイスが「無効」になり、任意の時間、機能しなくなり、操作できなくなることです。
これらの脆弱性は簡単に連鎖させることができる。インターネット攻撃者は、送信されたリンクを介して認証を回避することで、攻撃を開始することができる。認証されたアクセスを得ると、攻撃者は他の2つの脆弱性のいずれかを悪用してデバイスにDoSを発動させ、送電網の監視と保護を不能にすることができる。
脆弱性リストと影響を受けるバージョン
次の表は、発見されたすべての脆弱性を CVSS v3.1 ベーススコア順に並べたものである。
すべての CVE は、SEL-451 デバイスファミリ全体と同じファームウェアバージョンに影響する:
- R315-V0からR315-V4まで
- R316-V0からR316-V4まで
- R317-V0からR317-V4まで
- R318-V0からR318-V5まで
- R320-V0からR320-V3まで
- R321-V0からR321-V3まで
- R322-V0からR322-V3まで
- R323-V0からR323-V5まで
- R324-V0からR324-V4まで
- R325-V0からR325-V3まで
- R326-V1の前にR326-V0から
- R327-V1の前にR327-V0から
脆弱性のスポットライトと技術的詳細
今回発見された一連の脆弱性により、攻撃者は管理ウェブインターフェースの認証をバイパスし、SEL-451 に DoS 状態を引き起こすことが可能です。また、被害者を誘い込んでリンクをクリックさせたり、悪意のあるページにアクセスさせたりすることでも、同じ結果を得ることができます。
このセクションでは、我々の分析で発見され、前述のチェーンでデバイスを無効にするために使用できる、最も関連性の高い3つの脆弱性について説明する。
CVE-2023-31176: 不十分なエントロピー
ウェブアプリケーションを通してユーザーのセッションを追跡し、デバイスへのすべての認証リクエストに含まれるセッショントークンの生成アルゴリズムにCVE-2023-31776を発見しました。
情報理論では、値のエントロピーは、それがカプセル化する情報の総量を定量化する。セッショントークンの長さは24から31文字の間で変化し、文字空間はURLセーフのBase64のものです(したがって、1文字あたり6ビット)。書類上、最大エントロピーは144から186ビットの範囲であるべきで、これらの数値は、あらゆる種類のブルートフォース攻撃から守るために必要な、推奨される最小80ビットよりも快適に高い。
何千万ものトークンを収集した後、その大半が重複しており、明らかなパターンを示していることに気づいた。その結果、実際のエントロピー量を、その長さに応じて18ビットから21ビットに減らすことができました。また、同じデバイスモデルの別のインスタンスをテストしたところ、異なるデバイスが同じトークンのセットを生成することがすぐにわかりました。
SEL-451 が最大 4000 リクエスト/分を処理できることを考慮すると、攻撃者はセッショントークンのブルートフォース攻撃 を成功させ、認証プロセスをバイパスすることができ、それには 30 分から 4 時間かかると結論付けた。この値では、このような攻撃は、最終的なインストールと使用状況にもよるが、実世界のシナリオで達成可能かもしれない。
CVE-2023-34389制限やスロットリングのないリソースの割り当て
この CVE は、デバイスのファームウェア・アップデートのテスト中に発見されたもので、ファームウェア・パ ッケージのアップロードが開始されると同時に、デバイスが無効状態になることに気づいた。この状態では、デバイス上のすべての物理ボタンは反応せず、制御出力の更新は行われず、デバイスは公開されたネットワークサービスを通じて制限された機能を提供します。
画像のアップロードに使用されるHTTPリクエストのファジングテストを実施していたところ、注目すべき矛盾を発見した。このデバイスは、FTPなど同社が提供する他の管理サービスと同じように、アップロードパッケージにサイズ制限を課していないのだ。驚くべきことに、アップロードに数時間かかるような数ギガバイトまでのファイルアップロードを喜んで受け入れるのだ。
このようにサイズ制限がないため、攻撃者は大きなファイルをアップロードすることで、デバイスを悪用し、長時間使用不能にすることができる。デバイスを通常動作に戻すには、デバイスの再起動やネットワーク接続の切断など、強制的にアップロードプロセスを中断するしかない。
CVE-2023-31177ウェブページ生成時の入力の不適切な中和
攻撃者がターゲット・デバイスと直接接続しない場合、最初の欠陥(CVE-2023-31176)を CVE-2023-31177 に置き換えることで、上記の連鎖の亜種が実行される可能性がありました。この脆弱性は、入力フィールドのサニタイズが不十分で、最終的に innerHTML のシンクで終わり、DOM ベースのクロスサイト・スクリプティング (XSS) を引き起こすことによるものです。
このシナリオでは、DoS状態は、被害者(おそらくエンジニア)にリンクを送り、デバイスへのアクティブなセッションがある間にそれをクリックするように騙すか、悪意のあるページにアクセスするように誘導することによって生成された可能性がある。もちろん、このような立場の攻撃者は、機密データの窃取、ビューの操作、悪意のあるコンテンツの拡散など、他の影響も得る可能性がある。
修復
SELは、報告されているすべての脆弱性を修正した複数の公式ファームウェア・アップデート(サポートされているリリースブランチごとに1つ)を開発しました。詳細については、本ブログの「脆弱性リストと影響を受けるバージョン」をご参照ください。
