Bosch Rexroth ctrlX COREは、産業用オートメーションで広く採用されているプラットフォームです。オープンなアーキテクチャと最新の製造システムやIoT システムとのシームレスな統合が評価され、組立ライン、エネルギー供給、ロボット、その他のスマート工場オペレーションなど、さまざまなインダストリー4.0のユースケースで導入されています。
このブログでは、Nozomi Networks Labs が Bosch Rexroth ctrlX CORE に影響する 15 件のゼロデイ脆弱性を発見し、産業環境に重要なリスクをもたらす可能性があることを紹介します。これらの欠陥のうち最も深刻なものは、CVE-2025-24351(CVSS 8.8)やCVE-2025-24346(CVSS 7.5)であり、攻撃者は最高権限で任意のコマンドを実行することさえ可能で、運用の中断、機密データの抜き取り、あるいはOT ネットワークをさらに侵害するための横の動きにつながる可能性があります。これらの欠陥の中には、低い特権やユーザーとの対話が必要なものもありますが、前提条件なしにリモートから悪用できるものもあり、セキュリティ上の大きな課題となっています。
Bosch Rexroth に脆弱性が報告されると、ベンダーは直ちに修正パッチを開発し、リリースしました。公式アドバイザリ BOSCH-SA-640452 は、Bosch Rexroth Security Advisories ページでもご覧いただけます。Nozomi Networks お客様への継続的なコミットメントの一環として、当社のThreat Intelligence サービスは、デバイス全体でこれらの脆弱性を検出するための新しい方法で強化されています。
この記事は、ctrlX COREプラットフォームの簡単な概要から始まり、発見された脆弱性の影響を検証し、最も危険な脆弱性を詳細に分析し、これらのセキュリティリスクを軽減するための推奨事項で締めくくる。
リサーチ範囲
ctrlX COREは、Bosch Rexrothが開発した柔軟性と拡張性の高い制御プラットフォームで、進化し続ける産業オートメーションの需要に対応するように設計されています。ctrlX COREの特長の1つは、そのオープンアーキテクチャで、従来の技術だけでなく、最新の産業用技術やIoT 技術もサポートしています。Linuxベースのオペレーティングシステム上に構築されているため、ユーザーはさまざまなベンダーのアプリケーションやソフトウェアを実行したり、独自のカスタムアプリケーションを開発したりすることができます。
ctrlX COREの重要なコンポーネントは、今日のPLCシステムでユビキタスなコンポーネントであるWebベースのアプリケーションです。このインターフェースは、Bosch Rexrothのデバイスを一元化されたプラットフォームからリモートで監督・管理するための包括的なツール群をユーザーに提供し、運転状態、性能メトリクス、診断、その他多くの機能へのリアルタイムアクセスを提供します。
これらの脆弱性の影響
Bosch Rexroth社のctrlX COREに確認された15の脆弱性は、産業環境に重大なセキュリティ上の影響を及ぼす可能性がありました。以下に、脆弱性が悪用された場合に想定される攻撃シナリオの例を示します:
- 運用の中断: 特定された脆弱性のいくつかは、デバイスの可用性に影響を及ぼし、遠隔地からアクセスできなくなったり、重要な瞬間に完全に操作できなくなったりする可能性があります。攻撃者は、これらの欠陥を悪用して、システムのスローダウン、予期せぬシャットダウン、オートメーション・プロセスの制御不能を引き起こす可能性があり、生産の遅延、運用の中断、メンテナンス・コストの増加につながる可能性があります。
- 機密産業データの抽出: 発見された脆弱性の中には、攻撃者が独自のプロセスパラメータやユーザー認証情報などの機密データにアクセスできる可能性があるものがある。このような情報は、産業スパイのために悪用される可能性があり、悪意のある行為者に製造技術の機密情報を提供したり、盗まれたユーザー名とパスワードのペアを他のシステムでテストして不正アクセスを行うクレデンシャル・スタッフィング攻撃に使用される可能性があります。
- OT ネットワークを侵害する横の動き ctrlX COREは基本的にARMまたはx86アーキテクチャ上のLinuxベースのシステムであるため、これを侵害すると、攻撃者はOT ネットワークへの本格的な橋頭堡を得ることになります。攻撃者はこのアクセスを悪用して、安全でない産業用プロトコルに中間者(MitM)攻撃を仕掛けたり、SCADAシステムの既知の脆弱性を狙ったりして、横の動きやより深いネットワーク侵害を可能にする。
冒頭で強調したように、脆弱性の中には、悪用するために低い特権やユーザーとの対話が必要なものがある一方で、前提条件なしでリモートから悪用できるものもある。さらに致命的なことに、特定の脆弱性は連鎖する可能性があり、攻撃者が最初の認証を行わずに、低権限の脆弱性を悪用できる可能性があります。このような攻撃の連鎖は、個々の脆弱性のリスクを増幅させるため、対策が一層急務となっている。詳細については、「脆弱性スポットライト」のセクションを参照されたい。
脆弱性リストと影響を受けるバージョン
以下の表は、発見された15の脆弱性をCVSS v3.1の基本スコア順に並べたものである。
この脆弱性は、ctrlX COREの以下のコンポーネントに影響する:
- ctrlX OS - デバイス管理
- CVE-2025-24339、CVE-2025-24340、CVE-2025-24341、CVE-2025-24342、CVE-2025-24346、CVE-2025-24347、CVE-2025-24348、CVE-2025-24349、CVE-2025-24350
- バージョン1.12.0 - 1.12.9 (含む)
- バージョン1.20.0 - 1.20.7 (含む)
- バージョン2.6.0 - 2.6.7 (含む)
- CVE-2025-24345、CVE-2025-24351
- バージョン1.20.0 - 1.20.7 (含む)
- バージョン2.6.0 - 2.6.7 (含む)
- CVE-2025-27532
- バージョン1.12.0 - 1.12.9 (含む)
- バージョン1.20.0 - 1.20.7 (含む)
- CVE-2025-24339、CVE-2025-24340、CVE-2025-24341、CVE-2025-24342、CVE-2025-24346、CVE-2025-24347、CVE-2025-24348、CVE-2025-24349、CVE-2025-24350
- ctrlX OS - ソリューション
- CVE-2025-24338、CVE-2025-24343、CVE-2025-24344
- バージョン1.12.0 - 1.12.1 (含む)
- バージョン1.20.0 - 1.20.1 (含む)
- バージョン2.6.0 - 2.6.0 (含む)
- CVE-2025-24338、CVE-2025-24343、CVE-2025-24344
脆弱性スポットライト
確認された15の脆弱性のうち、大半は悪用されるために何らかの認証情報を必要とするが、そのうちの3つは認証されていない攻撃者によって悪用される可能性がある。
そのうちの1つ、CVE-2025-24342は、ユーザー名列挙の脆弱性、すなわち、認証されていない攻撃者が有効なユーザー名を特定できる脆弱性であり、ブルートフォース成功に必要な労力を大幅に軽減する。
ユーザ名列挙の欠陥は、通常、与えられたユーザ名の妥当性によって異なるエラーメッセージのような、応答の不一致に依存します。CVE-2025-24342は、その代わりに、時間ベースのユーザ名列挙の脆弱性です。同じ応答を返すにもかかわらず、ログイン関数は、存在しないユーザ名に対しては直ちに終了し、一方、有効なユーザ名に対してはパスワードのチェックを続けるので、まだ脆弱です。
通常、この遅延は最小限であり、通常のネットワークノイズと区別がつきません。しかしながら、非常に長いパスワード(ウェブ・アプリケーションは最大 256 文字のパスワードでのログイン試行を受け入れました)を供給することで、攻撃者はパスワード・チェック・フェーズのハッシュ計算時間を大幅に増加させることができ、レスポンスタイムの違いを測定可能にし、攻撃を実行可能にします。
boschrexroth", "user1", "admin1", "user2 "は有効なユーザ名であり、長いパスワードでログインを試みると、レスポンスに有意な遅延が生じる。ウェブアプリケーションはデフォルトでブルートフォース対策を有効にしていないため、これは攻撃者がctrlX COREにある程度のアクセス権を得るための最初の方法となります。
一旦デバイスへのアクセスが得られると、攻撃者がさらに悪用するために利用できる脆弱性は、侵害されたアカウントの特権レベルに依存する。
最も深刻なシナリオは、攻撃者が「リモートログ」機能を管理する権限を持つアカウントにアクセスした場合に発生する。このような状況では、シェルコマンドに含まれる不適切に検証された入力により、root権限でOSコマンドインジェクションの脆弱性CVE-2025-24351を悪用される可能性があります。図3は、Linuxコマンド "id "をインジェクションしている間のstraceセッションからの抜粋を示している。この脆弱性を悪用すると、デバイスが完全に侵害され、「これらの脆弱性の影響とは」で説明したすべての攻撃シナリオが可能になります。
攻撃者が "Proxy "機能にアクセスした場合にも、同様の結果が発生する可能性がある。この場合、攻撃者はCVE-2025-24346を悪用するかもしれません。この脆弱性は、改行文字の注入を可能にする入力パラメータの不適切な検証に起因しています。この脆弱性は、最終的に「/etc/environment」に新しいエントリを挿入するために使用される可能性があり、攻撃者は、特定のバイナリの動作を操作するために、センシティブな環境変数(例えば、図4で示されるように、「PATH」)を再定義したり、新しい変数を導入したりすることができます。悪用は CVE-2025-24351 と比べると簡単ではないかもしれませんが、同様の深刻な結果を招く可能性があります。
最後に、より影響力のある脆弱性を利用するために特権を取得しない場合でも、攻撃者は CVE-2025-24341 を悪用することができます。これは "Allocation of Resources Without Limits or Throttling "と呼ばれるCWEで、ウェブアプリケーションが監視のために、認証セッションに含まれる各HTTP User-Agentヘッダの値を、長さの上限を設けることなく保存するために発生します。この値はctrlX OSのメインプロセスの1つのメモリに保存されるため、攻撃者は非常に長いUser-Agentヘッダを含むログイン要求を大量に送信することで、デバイスのRAMを使い果たす可能性があります。
RAMが完全に使い果たされそうになると、デバイスは極端に遅くなり、それ以上のリクエストやインタラクションを処理できなくなる(図5)。ラボで行ったテストでは、この状態は攻撃から約5分で達成されました。さらに、過剰なログイン要求を止めた後でも、デバイスは自力では回復しないため、資産所有者はコントロールを取り戻すためにデバイスをパワーサイクルすることを余儀なくされます。
修復
この脆弱性が Bosch Rexroth に報告された後、Bosch Rexroth は直ちに対応し、パッチを開発、リリースしました。さらに、セキュリティ勧告 BOSCH-SA-640452 がBosch Rexroth Security Advisoriesページに公開されました。Bosch Rexrothのオートメーション用ctrlX COREプラットフォームを利用している組織は、悪用される可能性のあるリスクを低減するために、影響を受けるコンポーネントを遅滞なくアップデートすることを強くお勧めします。
何らかの理由でパッチの適用が不可能な場合、Nozomi Networks Labsは、既存のインストールを安全にするために以下の緩和策を推奨します:
- 認証されていない脆弱性が悪用されるリスクを軽減するために、資産所有者は、デバイスの管理ウェブ・アプリケーションへのネットワーク・アクセスを制限し、綿密に監視して、信頼できるユーザーだけが接続できるようにする必要があります。さらに、暗号化されていない HTTP ポート(ポート 80)へのアクセスを無効にし、HTTPS(ポート 443)を介した接続のみを許可することを強く推奨します。
- 認証された脆弱性によってもたらされるリスクに対処するために、組織はctrlX CORE Webアプリケーションにアクセスできるすべてのユーザーアカウントの包括的な監査を実施する必要があります。特に、以下の機能にアクセスできるアカウントに注意が必要です:バックアップとリストア」、「証明書と鍵」、「ホスト」、「ネットワークインタフェース」、「プロキシ」、「リモートログ」、「アプリデータの管理」です。潜在的な攻撃対象領域を減らすため、不要または未使用のアカウントは速やかに削除すること。
- 認証された脆弱性がもたらすリスクをさらに軽減するために、資産所有者はこれらの機能の設定と内容を定期的に監査すべきである:ネットワークインターフェイス」、「プロキシ」、「リモートログ」、「アプリデータの管理」です。これらのレビューでは、すべての設定が期待される運用パラメータに適合していること、不正な変更や不審なファイルが存在しないことを確認する必要があります。
