Nozomi Networks 研究所では2020年末より、三菱電機の安全PLCで使用されている通信プロトコル「MELSOFT」と、それに対応するエンジニアリングワークステーションソフトウェア「GX Works3」に関する研究プロジェクトを開始しました。昨年公開した過去のブログでは、MELSOFT通信プロトコルの認証機構に関連し、攻撃者が悪用して安全PLCを侵害する可能性のある5つの脆弱性を紹介した。
このブログでは、CVE-2022-29831、CVE-2022-29832、CVE-2022-29833(三菱電機アドバイザリ2022-015、CISA アドバイザリICSA-22-333-05)で追跡されている三菱電機 GX Works3 に影響を及ぼす 3 つの追加の脆弱性を明らかにし、最悪のシナリオでは、関連する GX Works3 プロジェクトファイルを所有していることのみを唯一の要件として、安全 PLC の侵害につながる可能性があります。
三菱電機は、CVE-2022-29832 および CVE-2022-29833 のリスクを軽減する CVE-2022-29831 のパッチを近日中にリリースする予定です。これらの脆弱性の潜在的な影響を考慮すると、昨年の問題と同様、セキュリティ体制を注意深く評価し、提案されている緩和策の適用を検討することをお勧めします。同じ理由から、本記事では技術的な詳細については公表しないが、資産所有者がリスクを理解し、潜在的なサイバー攻撃に事前に備えるために必要な情報を提供する。
Nozomi Networks をご利用のお客様には、Threat Intelligence サービスも更新され、脆弱性のあるGX Works3のインストールを検出して警告するようになりました。
背景
プログラマブルロジックコントローラのセキュリティ態勢全体を評価する際、付属のエンジニアリングソフトウェアの分析が重要な役割を果たします。PLC はエンジニアリングソフトウェアを通じて広範囲に管理できるため(PLC から/PLC へのプログラムのアップロードとダウンロード、ソフトウェアとハードウェアの問題の診断とトラブルシューティング、メンテナンス操作など)、エンジニアリングソフトウェアが攻撃者にとって魅力的なターゲットになることは驚くことではありません。このベクトルは、イランの核施設で使用されている遠心分離機を最終的に危険にさらすために、Stuxnet がそのチェーン全体を通じて活用したものとまったく同じであるため、これは突飛なシナリオではありません。
GX Works3 は、MELSECiQ-R および MELSECiQ-F シリーズ制御システム専用に設計された、三菱電機が提供するプログラミングおよびメンテナンス用ソフトウェアです。セーフティCPUモジュールをターゲットとするGX Works3のプロジェクトファイルは、プロジェクト作成時にユーザーが定義したユーザー名とパスワードのペアで開く必要があります(図1)。私たちは、このセキュリティモデルを評価することで、攻撃者がこのモデルを回避する機会がないかどうかを把握し、関連するPLCにこのような落とし穴が存在する可能性がある場合の正確な影響を判断することにしました。
脆弱性の発見
GX Works3のプロジェクトファイルを解析したところ、以下の3つの脆弱性が見つかりました:
- CVE-2022-29831:ハードコードされたパスワードの使用 (CWE-259), CVSS v3.1 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
- CVE-2022-29832メモリ内の機密情報の平文保存 (CWE-316), CVSS v3.1 3.7 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)
- CVE-2022-29833:十分に保護されていない認証情報(CWE-522)、CVSS v3.1 6.8(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N)
これらの脆弱性は、GX Works3のバージョン1.015R以降に影響します。
パッチの開発はまだ進行中であるため、技術的な詳細は本記事では自主的に割愛した。
要件と影響
これらの欠陥を悪用するために攻撃者が必要とするのは、安全 PLC プロジェクトファイルを 1 つだけ入手することです。これはいくつかの方法で発生する可能性があります。たとえば、誤った設定のファイルサーバを経由したり、共有コンピュータにアクセスしたり、保護されていない通信を盗聴したりすることで発生します。その場合、最初の 2 つの問題を即座に悪用して、プロジェクトファイルに含まれるプロジェクト自体の機密情報や、関連するセーフティ CPU モジュールに登録されているアカウントのユーザ名を取得する可能性があります。
しかし、資産所有者がセーフティ CPU モジュールにアクセスするために同じ認証情報を再利用して、関連するプロジェクトファイルも保護することを選択した場合、非常に危険なシナリオが発生します。実際、このような状況では、攻撃者は 3 つの問題をすべて連鎖させ、セーフティ CPU モジュールに直接アクセスできる非常に強力な攻撃プリミティブを取得する可能性があります。これにより、攻撃者は安全 CPU モジュールを侵害し、その結果、管理されている産業プロセスを混乱させる可能性がある。
緩和策
三菱電機からのパッチを待つ間(近日中に届く予定)、以下の緩和策を適用することを推奨する:
- 信頼できない第三者による安全 CPU プロジェクトファイルへのアクセ スを可能な限り制限する;
- 安全なCPUプロジェクトファイルを、転送中および静止中の両方で十分に保護する(暗号化するなど);
- セーフティ CPU モジュールに設定されている弱いパスワー ド ( あれば ) をすべて変更する;
- セーフティ CPU プロジェクトファイルを開いたり、セーフティ CPU モ ジュールにアクセスするために、同じ資格情報を再使用しないで ください。
その他の緩和策は、三菱電機のアドバイザリに掲載されている。
概要
エンジニアリング・ソフトウェアは、産業用コントローラのセキュリティ・チェーンにおける重要なコンポーネントである。これらのソフトウェアに脆弱性が発生した場合、敵対者はそれらを悪用し、最終的に管理対象デバイス、ひいては管理対象の産業プロセスを危険にさらす可能性があります。このブログでは、三菱電機 GX Works3 に影響を及ぼす 3 つの脆弱性を明らかにしました。最悪の場合、攻撃者が関連する GX Works3 プロジェクトファイル 1 つにアクセスできれば、これらの欠陥によって安全 PLC を侵害できる可能性があります。
パッチを待つ間、三菱電機がアドバイザリに含めている緩和策と、このブログ記事で紹介した緩和策を適用するよう、資産所有者に助言する。
