2022年末,Nozomi Networks Labsは,エネルギー・産業企業向けの技術ソリューションを開発・展開するBaker Hughes社が製造するBently Nevada Machinery Protection Systemsの研究プロジェクトを開始した.これらの保護システムは通常,製油所,石油化学プラント,水力発電施設,風力発電所などの環境に設置され,タービン,コンプレッサー,モーター,発電機などの回転機械の異常を検知・防止する.このような脆弱性に対する認識を高めることで,潜在的な脅威に対して重要なインフラを強化するための対策を積極的に講じることができるよう,産業界の組織を支援することを目的としています.
このブログ記事では,Bently Nevada 3500 ラックモデルで発見した3 つの脆弱性(CVE-2023-34437,CVE-2023-34441,CVE-2023-36857 として公開)を紹介します.
これらの脆弱性の1つは,攻撃者が認証プロセスをバイパスし,悪意のあるリクエストを作成して送信するだけで,デバイスへの完全なアクセスを取得できる可能性があることを強調することが重要である.レガシー上の制約からパッチの開発は予定されていないため,技術的な詳細は本記事では自主的に省略した.これらの脆弱性に関する認識を高めることで,潜在的な脅威に対して重要なインフラを強化するための対策を積極的に講じることができるよう,産業界の組織を支援することを目的としています.
背景
Nozomi Networks 研究所は,ベントリー・ネバダ3500システムのセキュリティ体制を調査することにした.このようなデバイスは,振動,温度,速度インジケータなどの重要なパラメータを継続的に監視し,産業機械の機械的故障を予測・防止するために使用されます.
システムは,複数の拡張モジュールのインストールをサポートするシャーシで構成され,イーサネットベースの通信は,我々の研究の主な焦点でもあったトランジェント・データ・インターフェイス(TDI /22)を介して処理される.情報交換は,デバイスと3500システム・コンフィギュレーション・ユーティリティによって話されるクリアテキストの独自プロトコルを使用して行われる(図1).
ラックは,アクセスレベル(「接続パスワード」)とコンフィギュレーションレベル(「コンフィギュレーションパスワード」)の両方でパスワード保護が有効になるように設定され,両方の保護が有効になる現実的なシナリオをシミュレートした.その後,独自プロトコルを解析し,リバースエンジニアリングを行って,設計レベルと実装レベルの両方で考えられる弱点を特定した.この分析の結果,Nozomi Networks Labs チームはさらに3つの脆弱性を発見し,その後ベンダーに開示した.
ベントリー・ネバダの脆弱性
ハイリスク
- CVSS v3.1 ベーススコア 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
CVE-2023-34437 (Exposure of Sensitive Information to a Unauthorized Actor)の悪用を成功させるためには,攻撃者は,この脆弱性が存在するターゲットデバイスのバージョンに到達するためのネットワークアクセスが必要であり,悪意のあるリクエストを送信することによって,「接続」パスワードと「設定」パスワードの両方を流出させることができる.デバイスに追加のハードニング対策が施されていない場合,この情報にアクセスして悪用することで,機械を完全に危険にさらすことができる.抽出された情報は,認証されたリクエストをターゲットに送信するために利用されるため,プロセスやオペレーションの機密性,完全性,可用性に影響を与える可能性があります.
ミディアム・リスク
- CVE-2023-34441: 機密情報の平文送信 (CWE-319),CVSS v3.1 ベーススコア 6.8 (CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L)
- CVE-2023-36857キャプチャ再生による認証バイパス (CWE-294),CVSS v3.1 基本スコア 5.4 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)
CVE-2023-34441(Cleartext Transmission of Sensitive Information)と CVE-2023-36857(Authentication Bypass by Capture-replay)は, 攻撃者がデータ送信からキャプチャされた一つ以上のリクエストにアクセスすることを要求します.このようなシナリオは,中間者(MitM)攻撃の結果として,またはトラフィック検査ソリューションによって記録された冗長なトレースにアクセスすることによって発生する可能性があります.影響という点では,CVE-2023-34441 は CVE-2023-36857 よりも深刻度が高いと評価されました.なぜなら,認証されたリクエストはすべて,たとえそれらが異なるセッションに属していたとしても,アクセスを認証するための同じ秘密鍵を含んでいるからです.これは,一つのパケットから抽出された鍵が,一時的に特定のセッションに関連付けられないので,その後,ターゲットに向けた追加の任意の認証されたリクエストを不定時間細工するために使われる可能性があることを意味します.
これらの脆弱性はすべて,/22 TDIモジュール(USB版およびシリアル版の両方)のファームウェアバージョン5.05以降に影響を及ぼすことが確認されています.
推奨される 緩和策
Nozomi Networks によって報告された脆弱性に基づく責任ある情報開示プロセスの一環として,ベントリー・ネバダ社は,使用中の3500システムに対する影響を軽減するための可能な方法を提案し,ハードニングのためのいくつかのガイドラインを速やかに顧客に提供しました.これらの原則には,同様の脆弱性による影響の深刻度を軽減するために適用できる以下の提案が含まれています:
- RUN モードと CONFIG モード:PLCと制御システムは,デバイスをRUNモードまたはCONFIGモードにするための物理キーを実装していることがよくあります.後者は通常,メンテナンス作業中に技術者が使用し,デバイスへの新しいコンフィギュレーションの書き込み許可を可能にします.よくある設定ミスは,メンテナンス作業後にデバイスを RUN モードに戻すのを忘れたり,デフォルトの常時オンの CONFIG モードを選択してリモートからの変更を容易にしたりすることです.ベストプラクティスは,可能な限りデバイスを常にRUNモードに保つことです.
- ネットワークのセグメンテーション適切なネットワークセグメンテーション戦略を設計し,実施することで,権限のない第三者が 重要な資産にアクセスできないようにする.これは,ベンダーによるサポートが終了したレガシー・ソリューションに特に推奨される.
- 強固でユニークなパスワード:クレデンシャルを選択する際には,堅牢性とともに一意性を保証すること.前者の特性は過小評価されがちであるが,脆弱なマシンやコンポーネントから抽出されたクレデンシャルが,同じクレデンシャルを共有する,完全にパッチが適用されたシステム上で容易に再利用されてしまうようなシナリオにおいて,防御策を提供することができる.
- デフォルト以外の拡張セキュリティ機能:デフォルトでは有効になっていないセキュリティ機能については,デバイスのマニュアルを確認してください.多くの場合,これらの追加機能は,特定の脆弱性の可能性や影響を大幅に軽減し,「パッチが適用しにくい」状況を緩和します.Bently Nevadaデバイスに関しては,コンフィギュレーション・ユーティリティで利用可能な様々なセキュリティ・レベルを確認し,特定のニーズとセキュリティ・ポリシーに合ったものを選択することをお勧めします.
概要
このブログでは,Bently Nevada 3500 システム機械に影響を及ぼす 3 つの脆弱性を明らかにしました.最も深刻なシナリオでは,これらの欠陥により,攻撃者がデバイスを完全に侵害し,内部設定を変更することが可能になり,監視対象マシンからの不正な測定値やサービス拒否攻撃につながる可能性があります.
また,新たに発見・公表された脆弱性に関連する影響を大幅に軽減するために,OT デバイスを堅牢化する効果的な方法についても検討した.詳細については,ベーカー・ヒューズが提供するハードニングガイドラインをご確認いただき,資産所有者の皆様がご自身の業務のセキュリティ態勢を確認または改善されることをお勧めします.Nozomi Networks をご利用のお客様には,Threat Intelligence サービスも更新され,脆弱性の可能性のあるベントリー・ネバダのインストールを検出して警告するようになりました.
