この記事は2020年3月3日に更新されました。
2019年8月13日、シーメンスCERTチームは、Nozomi Networks Labsと共同で、シーメンスSCALANCEスイッチデバイスの脆弱性に関するアドバイザリを発表しました。
Siemens CERT Advisory(SSA-100232)は、この脆弱性について記述しており、その悪用に成功すると、リモート攻撃者がデバイスの再起動を引き起こすことによって、スイッチFXシリーズを使用不能(フォールトモード)にすることができることを示しています。第二の影響は、デバイス自身によって制御されるネットワークの通信管理の中断です。
Nozomi Networks ラボは、シーメンス CERT および CISA に対し、責任を持ってセキュリティ問題を開示した。この取り組みは、一般的なデバイスの脆弱性をテストするためにNozomi Networks Labs が実施中の研究の一部である。例えば、Labsチームは最近、BlackHat 2019でIEC 62351-7 Standard for Monitoringを使用したインテリジェント電子機器(IED)のセキュリティ確保に関する研究を 発表しました。この分析中に、これまで知られていなかったデバイスの脆弱性を発見しました。
Siemens CERT Advisory は、長寿命で安全でないレガシーデバイスを含む産業用システムを保護するという課題を浮き彫りにしています。この勧告は、シーメンス製品に関連する3つのICS-CERT勧告のうちの1つであり、昨年私たちのチームによって報告されました。
この脆弱性と、産業施設にありがちなその他のレガシーデバイスのリスクについては、こちらをお読みください。
Nozomi Networks Labs が報告したスイッチの脆弱性の概要
Siemens CERT Advisory の対象となる脆弱性は、Siemens SCALANCE XF シリーズスイッチに適用されます。具体的には、以下の製品が影響を受けます:
- All SCALANCE XF-208 switches at revisions <= v5.2.3
シーメンスはこれらのコントローラーの役割を次のように説明している:
「あらゆる環境条件に対応 - 産業用イーサネットスイッチのポートフォリオでは、銅線または光ファイバーポートを備えたデバイス、制御盤用、過酷な環境での使用、最大10 Gbpsのデータ転送速度など、お客様のアプリケーションに最適なスイッチが必ず見つかります。
これにより、ネットワーク・トポロジーの設計に柔軟性が生まれます。冗長セットアップやダウンタイムの最小化から、あらゆるレベルの統合された信頼性の高いセグメンテーション、クラウドベースのシステムへのバリアフリー接続まで、ネットワーク・トポロジーの設計が可能になります。
シーメンスは、入荷から生産工程を経て出荷まで、機械や集約レベルから産業用バックボーンを経て企業ネットワークへの接続まで、あらゆる分野のオートメーションのための統合された製品群とシステムで、これらすべてを一元的に提供します。"
ICS-CERTによると、これらのデバイスは、以下のようなインフラ部門で世界中で使用されている:
- 重要な製造
- 食品と農業
- 交通
- 上下水道
- ケミカル
- エネルギー
- 医療と公衆衛生
Nozomi Networks 研究所の脆弱性分析
先週ラスベガスで開催されたBlack Hat USA 2019で、Nozomi Networks 、電力網のインテリジェント電子機器(IED)を保護するための斬新な監視アプローチ(Nozomi Networks Smart Polling ソリューションを使用)を発表した。スマートグリッド設備の安全性を確保するためのIEC 62351-7規格の実装に関する最新の研究中、私たちはBlack Hatのデモシナリオで使用されたいくつかのデバイスの現在のセキュリティ態勢について、より詳細な分析を行うことにしました。
分析中に、2019年8月13日に公表されたシーメンスCERTアドバイザリに関連する脆弱性を発見しました。
SSA-100232:SCALANCE X スイッチにおけるサービス拒否の脆弱性、2019 年 8 月 13 日
- ICS-CERT Advisory:ICSA-19-225-03 - シーメンス SCALANCE X スイッチ
- NIST/NVDCVE-2019-10942
- Reported byNozomi Networks Labs
この新しい脆弱性は、リモートの脅威者が、デバイス自体の管理および設定に使用される Telnet サービスを介して、制御不能なリソース消費を引き起こすことを可能にします。リモートの攻撃者は、細工したパケットをデバイスに送信することでサービス拒否(DoS)を引き起こし、デバイスの状態をフォールトモードに変更し、即座に再起動させることができる。その結果、同じネットワーク内のすべてのデバイスが通信できなくなり、低レベルのプロセスも中断される。
シーメンス、機器の脆弱性を解消するアップデートを発行予定
シーメンスは、SCALANCE FX シリーズスイッチの脆弱性に関するセキュリティアドバイザリを発行しました。シーメンスは、近日中に追加パッチを提供する予定です。
シーメンスCERTとの過去の情報開示と協力の経験に基づき、この脆弱性はシーメンスのセキュリティチームによってタイムリーかつ効果的な方法で処理されました。
デバイスの普及が安全とビジネスに与える影響
世界中のさまざまな産業で SCALANCE スイッチが広く使用されていることは、IT とOT ネットワークの両方を保護することの難しさを浮き彫りにしています。さらに、産業施設におけるこれらのデバイスの寿命が長いということは、組織がこれらの機密性の高い環境内で脆弱な資産を依然として利用している可能性があることを意味します。重要な制御デバイスは、パッチを適用するために容易にオフラインにすることができないため、セキュリティの課題はさらに複雑になります。
このような脆弱性に対する組織のサイバーリスクレベルを評価するには、施設内の影響を受けやすいデバイスを可視化し、その情報を改善計画に活用することが重要です。理想的なセキュリティプログラムは、サイバーリスク、安全性、環境への懸念、ビジネスへの影響を考慮する必要があります。
推奨される解決策と緩和策
シーメンスは、この脆弱性から影響を受けるエンドユーザーを保護するために、標準的な緩和策を含む一連の推奨策を提供している。これらの緩和策は、セキュリティ勧告に概説されており、以下を含む:
- すべての制御システム機器および/またはシステムのネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする。
- 制御システム・ネットワークとリモート・デバイスをファイアウォールの背後に配置し、ビジネス・ネットワークから隔離する。
- リモートアクセスが必要な場合は、Virtual PrivateNetworks (VPN)などの安全な方法を使用する。VPNにも脆弱性がある可能性があるため、利用可能な最新バージョンに更新する必要がある。産業用オペレーターは、VPNは接続された機器と同程度にしか安全でないことを認識する必要がある。
Nozomi Networks 影響を受けるシステムを自動的に特定する統合ソリューション
Nozomi Networks を使用している顧客は Threat Intelligenceをご利用のお客様は、脆弱性が発見されるとすぐに特定するカスタムシグネチャの恩恵を受けることができます。顧客は、どの資産が脆弱であるかを知らせるアラートを自動的に受信し、修復のための推奨ステップを示します。
レガシーデバイスによるサイバーリスクへの対策
レガシー産業用デバイスのセキュリティ確保という課題は手ごわいものの、効果的なツールや役立つ情報が入手できるようになった。
threat intelligence 、特定の脆弱性を持つデバイスを特定し、産業システムの脅威や脆弱性を自動的に検出するための機械学習を使用することは、急速に変化するセキュリティ情勢を考えると、より必須となってきている。
この情報をもとに、産業業務のサイバーセキュリティ態勢を改善するために必要なアクションに優先順位をつけることができます。
