2022年8月に開催されたBlack Hat USAにおいて、Nozomi Networks Labsは、ウルトラワイドバンド(UWB)リアルタイム・ロケーティング・システム(RTLS)で発見された脆弱性を明らかにしました。発表の中で、RTLSで使用されるネットワークプロトコルの弱点を利用した場合、これらの安全な無線通信が実際には失敗する可能性があることを示しました。Black Hatのステージで発表されたこの研究の詳細については、当社のブログと ホワイトペーパーを参照してください。
Black Hat での発表以来、私たちは Sewio RTLS の全体的なセキュリティ態勢をさらに評価し、新たな潜在的攻撃ベクトルを発見するために、分析を続けてきました。RTLS のすべてのコンポーネントの中で、中央測位サーバは、システムによって追跡される資産や人のすべての位置データを収集・保存し、通常は複数のネットワークにまたがって公開されていることから、間違いなく最も貴重な調査対象です。
このブログでは、UWB ベースの位置情報システムの人気ブランドである Sewio 社の RTLS Studio ソフトウェアに影響する 9 件の脆弱性(うち 4 件はクリティカル)を公開します。これらの脆弱性は、CISA ICS AdvisoryICSA-23-012-01 でも追跡されています。これらの問題により、権限のない攻撃者がサーバに不正にアクセスし、情報を改ざんし、サービス拒否(DoS)状態を作り出し、特権を昇格させ、任意のコードを実行することが可能になります。
リアルタイム・ロケーティング・システム入門
リアルタイム・ロケーティング・システム(RTLS)は、GPSが不正確であったり、全く効果がないような屋内環境において、特に資産や人の位置を特定するために無線周波数信号(例えばUWB)を使用する技術である。このシステムは、通常の資産追跡のような非安全上重要なタスクから、作業員の安全確保(製造工場など)、接触者追跡、その他の潜在的に危険な環境のモニタリングまで、様々な目的に使用されます。
RTLS は 3 つのコンポーネントから構成される:
- タグは資産や人に取り付けられ、定期的に無線信号を発する;
- アンカーは、これらの無線信号を受信し、取得した情報を共通のネットワーク媒体(例えば、イーサネット、Wi-Fi)を介して中央測位サーバーに転送する;
- 中央測位サーバー。アンカーからのすべての情報を処理し、タグの位置を計算する。
中央測位サーバーは、資産所有者が RTLS を展開、保守、制御できるようにする本格的なソフトウェアソリューションです。サーバーはまた、すべてのタグの位置を監視し、タグを装着している資産や人の位置に基づいてアラートを管理したり、分析(例えば、生産ラインプロセスの効率を評価する)のために履歴データや集計データを作成したりすることができます。このサーバーは、ベンダーが提供する専用ハードウェア上でも、一般的なWindowsまたはLinuxベースのシステム上でも実行できる。
通常、中央測位サーバーは少なくとも2つの異なるネットワークに同時に接続されている:
- 1つのインターフェースはRTLSバックホールネットワークに接続され、アンカーからの通信を受信する;
- もう 1 つのインターフェースは IT 管理ネットワークに接続され、管理者やオペレータがリモートで接続できるようになっています。大半の RTLS では、管理サービスはウェブアプリケーションを介して実装されています。
その結果、中央測位サーバーが RTLS のセキュリティ体制全体において重要な役割を果たし、適切に保護されなければ攻撃者にとって魅力的なターゲットになり得ることは驚くことではありません。
Sewio RTLS Studioに脆弱性が見つかる
RTLS Studioを分析した結果、以下の9つの脆弱性が見つかりました:
重大なリスク:
- CVE-2022-45444: ハードコードされたパスワードの使用 (CWE-259),CVSS v3 10.0(AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
- CVE-2022-47911:CVSS v3 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H): OS コマンドで使用される特殊要素の不適切な中和 ('OS コマンドインジェクション') (CWE-78)
- CVSS v3 9.1(AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) (CVE-2022-43483:OSコマンドで使用される特殊要素の不適切な中和('OSコマンドインジェクション') (CWE-78))
- CVE-2022-41989:境界外書き込み (CWE-787)、CVSS v3 9.0(AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)
リスクが高い:
- CVE-2022-45127: クロスサイトリクエストフォージェリ (CSRF) (CWE-352), CVSS v3 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H)
- CVE-2022-47395クロスサイトリクエストフォージェリ (CSRF) (CWE-352)、CVSS v3 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H)
中程度のリスクだ:
- CVE-2022-47917不適切な入力検証 (CWE-20), CVSS v3 6.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
- CVE-2022-46733: ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') (CWE-79), CVSS v3 6.3 (AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)
- CVE-2022-43455:不適切な入力の検証 (CWE-20)、CVSS v3 5.5 (AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:L)
* 以下の CVE はバージョン 2.0.0 - 2.6.2 に影響し、利用可能な修正があります:CVE-2022-47911、CVE-2022-43483、CVE-2022-45127、CVE-2022-47395、CVE-2022-47917、CVE-2022-46733、CVE-2022-43455
* 以下のCVEはバージョン2.0.0以降に影響し、修正が行われている間、回避策が提案されています:CVE-2022-45444 と CVE-2022-41989 です。
攻撃チェーンの例:CVE-2022-45127とCVE-2022-47911
RTLS Studio が提供する機能のひとつに、RTLS Studio のコンフィギュレーションのバックアップとリストアがあります。図 1 にインターフェースのスクリーンショットを示します。
この機能はHTTP GETリクエストで実装されており、アクティブなCSRFセキュリティ対策は施されていない。このことは既に、リモートの認証されていない攻撃者が、リンクを細工して特権ユーザーを誘い、ウェブサービスに認証された状態でそのリンクをクリックさせることで、任意のバックアップ・リストア操作(工場出荷時のデフォルト設定へのリストアを含む)を実行し、DoS状態を引き起こす可能性があることを意味します(CVE-2022-45127)。
とはいえ、他の攻撃シナリオが考えられるかどうかを検証するために、この機能のハンドラーのサーバー側のコードについても、詳細なセキュリティ監査を実施した。
このアプリケーションには、コマンド・インジェクションやその他の攻撃を防ぐための特定のセキュリティ対策が施されていたが、パラメーターの1つがパストラバーサルに対して保護されていなかった。最終的には、Bashや他のシェルインタプリタなど、OS上で利用可能な実行可能ファイルを実行するために悪用することが可能でした。さらに、シェルそのものを活用することで、前述のセキュリティ・ルーチンが実行するすべての文字のエスケープを確実に回避し、完全に任意のコマンドを実行することに成功しました(CVE-2022-47911)。
この問題を CSRF 脆弱性と連鎖させることで、攻撃者は悪意のある「1-click RCE」リンクを作成することができ、ウェブサービスに認証された特権ユーザーがクリックすると、システムとその中のすべてのデータを侵害することができる。
CVE-2022-47395とCVE-2022-43483を悪用することで、類似の攻撃チェーンが考案される可能性もある。
修復
資産所有者は、無許可の脅威行為者によるシステムの悪用を防止するため、セウイオが開発したすべてのパッチと、パッチが適用されていない残りの脆弱性に対するすべての緩和策を速やかに適用することを推奨する。
Sewioは以下のようなパッチを開発した:
- CVE-2022-47911
- CVE-2022-43483
- CVE-2022-45127
- CVE-2022-47395
- CVE-2022-47917
- CVE-2022-46733
- CVE-2022-43455
RTLS Studioのバージョン3.0.0以降にアップデートすることをお勧めします。
パッチが適用されていない脆弱性(CVE-2022-45444およびCVE-2022-41989)については、現在も修正作業中です。これらの脆弱性は、以下の回避策を実施することで緩和することができます:
- CVE-2022-45444: データベースのパスワードを手動で任意のものに変更してください;
- CVE-2022-41989:ファイアウォールルールを適用し、IT管理ネットワークからのアンカーレポート、アンカー同期、点滅と同期ネットワークサービスとの相互作用を防ぐ。
概要
このブログでは、SewioのRTLS Studioソフトウェアに影響を与える9つの脆弱性を発表しました。
RTLS は、屋内施設の資産や人を追跡し、作業効率を最大化し、作業環境の安全性を高めることができる、急速に成長している技術です。無線信号にUWB(特に最新のIEEE 802.15.4z改正)を採用することで、他の利用可能な規格と比較して、より正確で安全な位置決めが可能になります。とはいえ、全体として安全なシステムを得るためには、すべての RTLS コンポーネントが同等にハード化されていることが重要です。
