この記事は2020年3月3日に更新されました。
本日、米国国土安全保障省の CISA(Cybersecurity and Infrastructure Security Agency)は、ロックウェル・オートメーションの CompactLogix 5370 コントローラの脆弱性に関する ICS-CERT Advisory を発表しました。
ICS-CERT Advisory(ICSA-19-120-01) は、この脆弱性について説明し、この脆弱性が悪用されると、リモートの攻撃者が PLC の Web サーバを利用できなくなる可能性があり、コールドリスタートが必要になることを示しています。
Nozomi Networks ラボは責任を持ってこの問題を CISA とロックウェル・オートメーションに開示した。この取り組みは、広く使用されているデバイスの脆弱性をテストするために実施している継続的な研究の一環です。
本日の勧告は、長寿命で安全でないレガシーデバイスを含む産業用システムの保護という課題に焦点を当て ています。この勧告は、当社のチームが昨年中に報告したロックウェル・オートメーション製品に関連する 3 件の ICS-CERT 勧告のうちの 1 つです。
我々の調査結果を読み、産業施設にありがちなレガシーリスクについて理解を深めよう。
Nozomi Networks ICS-CERT AdvisoryICSA-19-120-01 に記載された脆弱性は、責任を持って公表された。
影響を受ける PLC は、食品製造業を含む多くの分野で使用されている。
Nozomi Networks Labs が報告したロックウェル・オートメーションの脆弱性の概要
新しい ICS-CERT Advisory の対象となる脆弱性は、ロックウェル・オートメーションの 1769 CompactLogix 5370 プログラマブル・ロジック・コントローラ(PLC)に適用されます。具体的には、影響を受ける製品は以下のとおりです:
- All 1769 CompactLogix 5370 PLCs at revisions <= v30.01.1
ロックウェル・オートメーションは、これらのコントローラの役割を次のように説明している:
「CompactLogix 5370コントローラは、機械、空気圧、電子コンポーネントをベースとした従来のアナログ制御を、デジタル・プログラマブル・ソフトウェアと組み合わせたものです。
CompactLogix 5370コントローラは、Logixコントローラファミリーのスケーラビリティを拡張し、幅広いオプションを提供し、特定のアプリケーション要件に最適な選択肢を提供します。
Kinetix®350と組み合わせることで、このコントローラは、EtherNet/IPという1つの共通ネットワーク上で、さまざまなマシンアプリケーションのためのコンパクトで手頃な価格の統合モーションパッケージで高性能を実現します。
ロックウェル・オートメーションのドキュメント
ICS-CERTによると、これらのコントローラは、以下のようなインフラ部門で世界中で使用されている:
- 重要な製造
- 食品と農業
- 交通
- 上下水道
インターネットに接続されたデバイスを特定する有名なIoT 検索エンジンであるShodan では、世界中で 2,000 台を超えるロックウェル・オートメーションの CompactLogix PLC が使用されています。
さらに、インターネットに接続されていない他の多くのCompactLogixデバイスが、産業施設で使用されています。
Nozomi Networks ラボの分析
昨年は、Rockwell Automation 1769 CompactLogix 5370 PLCとRSLinx Classicワークステーションアプリケーション(Studio 5000)を調査しました。
我々の分析中、3件の脆弱性を発見した。このうち 1 つは本日公表された ICS-CERT に関連するものであり、2 つは昨年公表された ICS-CERT に関連するものである。
1.CompactLogix 5370 リソース消費の制御不能、2019 年 4 月 30 日
- ICS-CERT勧告ICSA-19-120-01
- NIST/NVDCVE-2019-10952
- 報告者Nozomi Networks
本日公開された新しい脆弱性は、認証されていない攻撃者が PLC に組み込まれた Web サーバを介して不適切なパラメータを処理することを可能にします。リモートの攻撃者は、Web サーバに細工したリクエストを送信することでサービス運用妨害 (DoS) を引き起こし、Web サーバをアクセス不能にしてクラッシュさせることができます。
攻撃者が細工した HTTP/HTTPS リクエストを送信することで、ウェブサーバを利用不能にしたり、スタックベースのバッファオーバーフローの脆弱性によりリモートでコードを実行されたりする可能性があります。システムを復旧させるには、コールドリスタートが必要です。
ICSA-19-120-01
[/et_pb_text][et_pb_text _builder_version=”3.27.4″]
リカバリーにはシステムのコールドリスタートが必要。
2.RSLinx Classic スタックベースのバッファオーバーフロー脆弱性、2018年9月20日
- ICS-CERT 勧告ICSA-18-263-02
- NIST/NVDCVE-2018-14829
- Reported byNozomi Networks and Tenable
この脆弱性は以前に公表されている。以下に該当する:
- RSLink Classic workstation software application <= v4.00.01.
この場合、脅威者はスタックベースのバッファオーバーフロー状態を悪用し、標的となるシステムに対してリモートから任意のコードを実行させることができる。
リカバリーにはソフトウェアの再起動が必要です。
3.RSLinx Classicのリソース消費制御不能の脆弱性、2018年9月20日
- ICS-CERT 勧告ICSA-18-263-02
- NIST/NVDCVE-2018-14827
- 報告者Nozomi Networks
この脆弱性は以前にも公表されており、以下に該当する:
- RSLink Classic workstation software application <= v4.00.01.
このタイプのインシデントでは、リモートの脅威者が意図的に不正な CIP パケットをポート 44818 に送信し、制御不能なリソース消費を引き起こす可能性がある。その結果、DoS が発生し、ソフトウェア・アプリケーションが応答しなくなり、クラッシュします。
リカバリーにはソフトウェアの再起動が必要です。
ロックウェル・オートメーション、脆弱性を解消するアップデートを発表
ロックウェル・オートメーションは、これらの脆弱性について2つのセキュリティ勧告を発表した。これらのアドバイザリは以下の通りです:
- 問題の修正が確認された、影響を受ける PLC の新しいファームウェアバージョン(FRN 31.011 以降)。
- RSLink Classicスイートのソフトウェア・アップデート(KB 1075712)
これまでの情報公開の経験から、これらの脆弱性はロックウェル・オートメーションのセキュリティ・チームによってタイムリーかつ効果的に処理されました。
安全性とビジネスへの影響
世界中のさまざまな産業で CompactLogix コントローラが広く使 用されているため、産業施設の安全確保が課題となっています。また、デバイスの寿命が長いということは、組織が機密性の高い環境で脆弱な資産を長期間使用する可能性があることを意味します。
重要な制御装置は、パッチを当てるために容易にオフラインにすることができないという事実が、この課題をさらに複雑にしている。
これらの脆弱性に対する組織のサイバーリスクレベルを評価するには、施設内の影響を受けやすいデバイスを可視化し、その情報を改善計画に活用することが重要です。このような計画では、ビジネスへの影響だけでなく、サイバーリスク、安全性、環境への懸念も考慮する必要があります。
NCCICが推奨する解決策と緩和策
NCCIC は、これらの脆弱性から影響を受けるエンドユーザーを保護するために、標準的な緩和策を含む一連の推奨事項を提供した。これらの緩和策は、セキュリティ勧告に概説されており、以下を含む:
- すべての制御システム機器および/またはシステムのネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする。
- 制御システム・ネットワークとリモート・デバイスをファイアウォールの背後に配置し、ビジネス・ネットワークから隔離する。
- リモートアクセスが必要な場合は、Virtual PrivateNetworks (VPN)などの安全な方法を使用する。VPNにも脆弱性があることを認識し、利用可能な最新バージョンに更新すること。また、VPNが安全であるのは、接続されているデバイスと同程度であることを認識すること。
Nozomi Networks 影響を受けるシステムを自動的に特定する製品
Nozomi Networks サブスクリプションを Threat Intelligenceサブスクリプションをご契約のお客様は、これらの脆弱性を特定するカスタムシグネチャをご利用いただけます。
Guardianの顧客は、どの PLC が脆弱であるかを知らせるアラートを自動的に受け取る。製品はまた、修復計画を容易にする詳細情報も提供する。
レガシーデバイスによるサイバーリスクへの対策
レガシーな産業用デバイスのセキュリティ確保という課題は手ごわいものだが、今日ではそれを支援するツールや情報がある。
研究は、どのデバイスに特定の脆弱性があるかを特定することである。私たちのような製品は、新たに明らかになった脆弱性について産業用システムを自動的に監視し、影響を受けるデバイスを特定する。また、ロックウェル・オートメーションなどのベンダーは、問題に対処するアップデートを提供している。
この情報をもとに、業務のサイバーセキュリティ態勢を改善するために必要なアクションに優先順位をつけることができます。
