2023年第 4四半期,Nozomi Networks Labs は,イタリアのベルガモで開催されたセキュリティカンファレンス "No Hat" に参加し,ブラウザベースの HMI (ヒューマンマシンインターフェース) に関する新しい研究 "Codename I11USION" の結果を発表しました.
Nozomi Networks Labs によるこのセキュリティ研究の取り組みでは,ウェブ中心のブラウザベースの HMI アプローチの採用に関連する上位 11 のリスクと,制御された OT 環境におけるその影響に焦点を当てました.
このブログ記事をもって,CVE 予約プロセスが完了し,AiLux RTU62351B の脆弱性を公表することが可能となりました.このシリーズの最後のデバイスです.この最終ステップを完了したことを受け,調査に関連するホワイトペーパーも一般公開することになりました.このホワイトペーパーでは,調査から得られたすべての結果と洞察を総合的に説明しています.
このブログでは,RTU62351B で発見された脆弱性について詳しく説明し,関連するホワイトペーパーで予想される内容の概要を共有します.
AiLux RTU62351B に 12 の脆弱性
ここ数年,Nozomi Networks Labs は,Siemens,SEL,Phoenix Contact,Bosch Rexroth といった有名ベンダーのデバイスを分析し,ブラウザベースの HMI のセキュリティに関する広範な研究を実施してきました.
AiLux は,変電所自動化システムの新興ブランドで,Enelや Eni などの大手エネルギー企業のプラントで採用されている機器を製造しています.AiLux は,変電所の自動化と制御用に設計された,HMI を内蔵した RTU (リモートターミナルユニット) である RTU62351B を製造しています.この機器は,Web ベースの HMI を公開するカスタマイズされた Linux ベースの OS を実行します.物理的なオペレーターは,タッチパネルとクロムベースのブラウザを使用して,このデバイスを監視し,操作することができます.イーサネットネットワークを介した遠隔操作や監視も可能です.
Nozomi Networks Labs は,このデバイスを分析した結果,以下の 12の脆弱性を発見しました.
これらの脆弱性による影響は多岐にわたりますが,特に注目すべき連鎖として,ブラウザ設定の脆弱性を悪用することで,認証されていない物理的な攻撃者がデバイスの機密リソースにアクセスし,その設定を変更し,さらにルート権限で任意のコマンドを実行できる可能性があるというものがあります.この連鎖の詳細については,弊社のホワイトペーパーを参照してください.このホワイトペーパーでは,攻撃者が発見された脆弱性を悪用する方法をステップバイステップで説明しています.
AiLux imx6 バンドルバージョン imx6_1.0.7-2 では,すべての CVE が正常に修正されています.悪意のある脅威行為者によるデバイスの悪用を避けるため,資産所有者にアップデートの適用を強く推奨します.
コードネームI11USION:ホワイトペーパー
Nozomi Networks Labs が新たに発表したホワイトペーパーでは,変化する HMI の状況に関する当社の調査の詳細な概要が提供されています.これらのインターフェースがウェブ技術をより広範囲に活用し始めている中,ブラウザベースの HMI への移行は,運用技術部門に多大な利点をもたらします.しかし,このシフトには新たなセキュリティリスクも伴い,残念ながらベンダーはしばしばこの点を軽視しています.
Nozomi Networks Labs は,主要ベンダーの 5つのブラウザベースの HMI について調査を実施し,これらのシステムに内在する 11の主要なセキュリティリスクを特定し,詳細を明らかにしました.これには,XSS (クロスサイトスクリプティング) や CSRF (クロスサイトリクエストフォージェリ) などの一般的に知られている Web セキュリティの問題だけでなく,ファイル操作の不適切な管理や,物理的なオペレータに付与された特権の遠隔からの悪用など,あまり知られていないリスクも含まれています.これらの脆弱性は,悪意のある行為者が HMI を完全に制御し,ひいては制御された産業プロセスを完全に制御する潜在的な攻撃経路を提供します.
このホワイトペーパーでは,いくつかの事例研究を通じて,これらの脆弱性がどのように悪用され,業務が妨害されたり,HMI ディスプレイが操作されたりして,不正行為が隠蔽される可能性があるかを生き生きと示しています.このようなシナリオは,これらの弱点が物理的な安全性と業務の整合性の両方に深刻な脅威をもたらすことを強調しています.
本稿では,エンドユーザー,ベンダー,そしてより広範なコミュニティがブラウザベースの HMI に関連するリスクを軽減し,産業環境のセキュリティを最終的に強化するために実施できる,重要な洞察と実践的な対策を提示して結論とします.
