産業用ゲートウェイは、現代のコネクテッド・インフラストラクチャのバックボーンであり、運用技術OT)と情報技術(IT)ネットワーク間の重要な橋渡し役として機能しています。これらのデバイスは、製造工場、スマートビルディング、ヘルスケア施設などの多様な環境において、センサー、コントローラー、集中管理プラットフォームなどの様々な産業システム間のシームレスな通信を可能にします。産業用ゲートウェイの役割、その脆弱性、および安全性を確保する方法を理解することは、重要なインフラを保護するために不可欠です。
このブログ記事では、Nozomi Networks Labs が Zettler 130.8005 デバイスを分析した際に発見した 3 つの脆弱性を紹介します。これらの脆弱性には、認証バイパスが含まれており、認証されていない攻撃者がデバイスを制御できる可能性があるほか、サービス拒否攻撃にさらされる可能性があります。
複数の責任ある情報開示の試みにもかかわらず、ベンダーはこれらの問題への対応に応じ ていない。このような取り組みの欠如により、影響を受けるデバイスは潜在的な悪用にさらされることになり、「改善策」のセクションで強調されているように、重要なシステムを保護するための代替的な緩和策の必要性が高まっています。130.8005 デバイスは、EZ Care(Schrack Seconet の一部門)などの他のブランドでも販売されているため、同製品の異なる亜種も同じ脆弱性の影響を受けている可能性があります。
本記事では、発見されたセキュリティ脆弱性に焦点を当て、それらがもたらす可能性のある影響について検討し、推奨される緩和策を提示する。影響を受けるデバイスとバージョンの詳細については、以下の「脆弱性リストと影響を受けるバージョン」のセクションを参照してください。
リサーチ範囲
Nozomi Networks 研究所は、Zettler 130.8005 TCP/IP産業用ゲートウェイ(図1)の詳細な脆弱性調査を実施しました。DINレール設置用に設計されたこのデバイスは、LonWorksケーブルラインとイーサネットネットワーク間の通信を容易にします。その汎用性と堅牢な機能性により、看護コールシステムやモバイル通信などの医療アプリケーションから、火災警報ネットワークのようなビルオートメーションシステムまで、さまざまな分野で重要なコンポーネントとなっています。さらに、このゲートウェイは、TCP/IPやVoIPプロトコルを介したクロスステーションコミュニケーションを可能にし、統合ウェブサーバーを介したリモート診断やメンテナンスをサポートし、シームレスな機能性のためにレガシーシステムと統合します。このように広く使用されていることから、多様な環境における運用効率と安全性を確保する上で重要な役割を担っていることがわかります。
ローカルオペレーティングネットワークの略称であるLonWorksは、制御アプリケーションの特定の要件を満たすためにエシェロン社が開発したオープンスタンダードのネットワーキングプラットフォーム(ISO/IEC 14908)です。ツイストペアケーブル、電力線、光ファイバー、ワイヤレス接続など、さまざまなメディアを介したデバイスの通信を可能にします。ビルディングオートメーションに広く採用されているLonWorksは、照明やHVAC(暖房、換気、空調)などのシステムの統合と管理を容易にし、運用効率と制御を強化します。この技術は、IT環境で一般的な標準LANベースのネットワークと自動的に統合することができないため、130.8005産業用ゲートウェイのようなソリューションは、これらの制限を克服し、リモート監視を容易にするために作成されました。
図2は、Zettler 130.8005が医療環境でLONネットワークとイーサネットネットワークのブリッジとしてどのように機能するかを示すサンプルネットワーク図です。このシナリオでは、患者がサポートを求めるために使用するナースコールシステムの一部であるさまざまなタイプの機器が、産業用ゲートウェイに配線されています。
これらの脆弱性の影響
最も影響の大きい脆弱性は、CVE-2024-12011 と CVE-2024-12013 です。CVE-2024-12011 は、認証されていないリモートの攻撃者がウェブインターフェースの認証をバイパスすることを可能にし、 潜在的に任意の変更を可能にします。しかしながら、この脆弱性は、攻撃者がウェブ・アプリケーションを介して正当なユーザが認証するのを待たなければならないという前提条件により、大幅に緩和されています。さらに、攻撃者の行動は認証されたユーザの権限に限定され、セッションの持続時間に対応する短いウィンドウに制限されます。
CVE-2024-12013 は、特定のファイルシステム・リソースへのアクセスを提供するデフォルト認証情報の使用に注目したものです。デフォルトの認証情報は、多くの場合、初期セットアップのためにメーカーによって事前に設定されており、広く知られているか、特に推測しやすいため、攻撃者の一般的な標的となっています。これらの認証情報を管理者が置き換えない場合、攻撃者はこれを悪用して認証をバイパスし、デバイスを制御することができます。ウェブ・アプリケーションを分析した結果、デフォルトの認証情報を更新する方法がすぐに見つからなかったため、メンテナンスが行われるまでデバイスは脆弱なままになっていた。
これらの脆弱性を悪用してデバイスのコンフィギュレーションを変更し、ゲートウェイに接続されたLONデバイスの適切な通信を中断させる可能性があります。この混乱は、これらのデバイスに依存している産業用システムの動作の完全性に重大な結果をもたらす可能性があります。例えば、不適切なコンフィグレーションや通信の中断は、システムの誤動作、効率の低下、あるいは完全な運用停止につながる可能性があります。製造工場、スマートビルディング、ヘルスケア施設などの環境では、このような混乱は、生産停止、安全機構の危殆化、または重要なサービスの遅延につながる可能性があり、これらの脆弱性の深刻さを強調している。
脆弱性スポットライト
このブログの「脆弱性スポットライト」では、機密情報を盗むために悪用される可能性のあるバッファ・オーバーリード(CWE-126)の脆弱性、CVE-2024-12011に焦点を当てることにした。この問題は、2つの重要な理由から特に重要です。第一に、ネットワークを介してデバイスとやりとりする能力を持つ認証されていないユーザーによって悪用される可能性があること、第二に、CやC++のようなメモリ非安全なプログラミング言語に内在するメモリ破壊の脆弱性の永続的な蔓延を改めて浮き彫りにしています。
バッファ・オーバーリードの脆弱性は、プログラムが意図された、あるいはアクセスするために割り当てられた以上のデータをバッファから読み込んだ場合に発生する。バッファとは、ユーザー入力やファイル内容のようなデータを一時的に保存するためのメモリ空間のことです。プログラムがデータの長さの検証に失敗すると、バッファを越えてメモリにアクセスし、パスワードや暗号化キーのような機密情報を暴露する可能性があります。攻撃者はバッファ・オーバーリードを悪用してデータを漏えいさせたり、クラッシュを引き起こしたりするため、深刻なセキュリティ・リスクをもたらす。これらの脆弱性はまた、ASLR(Address Space Layout Randomization)やPIE(Position Independent Code)のような保護機能をバイパスする可能性がある。顕著な例は、安全なインターネット通信のためのライブラリであるOpenSSLのHeartbleedバグである。HeartbleedはTLS/DTLSハートビート拡張の欠陥を悪用したもので、攻撃者はバッファを超えて最大64キロバイトのメモリを取り出すことができる。これにより、秘密鍵、セッション・クッキー、パスワードが暴露され、暗号化された通信が損なわれた。
同様の方法で、CVE-2024-12011 は、他のユーザがシステムにログインしている時にリモート攻撃者に悪用され、そのセッションに現在関連付けられている認証トークンを漏らすことができます。図 3 は、ウェブ・サーバからのレスポンスの一部として返されるトークンを強調していますが、プロセス・メモリに存在するガベージ・データとアドレスを参照する他のメモリ関連情報も返されていることに注目してください。
この値が取得されると、攻撃者は、侵害されたユーザーが十分な権限を持っている場合に限り、デバイス上で認証後のAPIを呼び出して任意の変更を実行しようとすることができる。ウェブ・サーバがGoAheadフレームワークを使用していることから、GoAheadに依存している他のプロジェクトが同様の影響を受ける可能性があるかどうかを調査するために、追加の分析が行われた。GoAheadのコードベースには、この特定の問題に関連する脆弱性は確認されませんでしたが、その他の発見があり、ウェブサーバーに影響を与える可能性のあるGoAheadの脆弱性に関する関連ブログで詳述されています。
脆弱性リストと影響を受けるバージョン
以下の表は、Zettler 130.8005 TCP/IP ゲートウェイのファームウェアバージョン 12h で確認された脆弱性の一覧です。結果は、CVSS 3.1 スコアで、最も深刻なものから最も深刻でないものへとソートされている。このブログ記事の導入部で述べたように、異なるブランド名(例えば、Schrack Seconet の EZ Care)で販売されている 130.8005 デバイスの他のバージョンも、同じ問題の影響を受けている可能性がある。
修復
Nozomi Networks 研究所は、報告された問題に関してベンダーと連絡を取るため、長期間に渡って複数のコミュニケーションチャネルを通じて連絡を取り、広範囲な努力を行った。このプロセスには、サイバーセキュリティ・インフラセキュリティ機構(CISA)の関与や、ベンダーの過去のパートナーとの関係を活用してコミュニケーションを促進することも含まれていた。このような努力にもかかわらず、ベンダーは、特定された脆弱性に対処するための対応策や認 識を提供しなかった。その結果、このブログ記事が公開された時点で、これらの問題を解決するためのファームウェアのアップデートやパッチがリリースされたことは知られていない。
ベンダーの対応やファームウェアのアップデートがないことから、顧客はシステムの安全性を確保するために積極的な措置を講じることが強く求められている。VLAN を使用したネットワーク・セグメンテーションのような強固なセキュリティ対策を実施することで、脆弱なデバイスをネットワークの重要な部分から隔離することができる。さらに、ファイアウォールを使用してデバイス固有の厳格なアクセス・コントロール・ルールを作成し、実施することで、これらのデバイスを標的とした不正アクセスや悪意のある活動のリスクを大幅に低減することができる。
