昨年,Nozomi Networks Labsチームは,armasuisse Science and TechnologyのCyber-Defenceキャンパスで開催された2つのハッカソンに招待された.これらのハッカソンでは,サイバーセキュリティの愛好家と専門家が集まり,産業制御システム(ICS)と自動車のサイバーセキュリティを保護するための複雑な問題を掘り下げました.これらのハンズオンセッションは,サイバーセキュリティの専門家に,重要インフラの安全確保の課題についてより深く理解してもらうことを目的としている.参加者には,重要インフラやサイバーセキュリティ企業の専門家や研究者のほか,国家サイバーセキュリティセンターや連邦国防・市民保護・スポーツ省などのスイス政府機関も含まれた.
では,このようなハッカソンに参加することは,どのようなものなのだろうか?このブログでは,SCADA の産業環境で使用されるデバイスのファームウェアのリバース・エンジニアリン グ,自動車のインフォテイメント・システムのファームウェアの解析とファジングの機会,最新の自動車 が暴露しているワイヤレス通信の解析など,その活動を見ていこう.
ICS ハッカソンSCADAシナリオにおけるネットワークトラフィック解析とファームウェアのリバースエンジニアリング
トゥーンで開催された産業制御システム(ICS)ハッカソンは,「重要インフラにおけるフォレンジックと攻撃検知」をテーマとし,産業プロセスを保護するための積極的なサイバーセキュリティ対策の必要性を強調した.参加者は,ICSフォレンジックに関する技術トレーニングセッションに参加する一方,産業用制御システムおよび運用技術(OT)機器に対する攻撃の工作や緩和策の開発に独自に取り組んだ.Nozomi Networks Labsチームからの2名の参加者は,ファームウェアのリバース・エンジニアリングと,イベント中に使用されたコンポーネントによって露出した無線攻撃面に焦点を当てた.
このイベントの特筆すべき点は,SCADAシナリオをシミュレートしたことで,産業用制御システムにおける脆弱性の特定と緩和スキルをテストするための実践的なプラットフォームを提供した.すべてのデバイスは,必要なソフトウェアがすでにインストールされ,すぐに使用できる状態で,ジャンプホストを通じてアクセス可能だった.
ラボの研究員たちは,SCADAラック内のデバイスを分析するスキルを向上させるために何日も費やした.まず,基本的なポートスキャンを行い,デバイス間のネットワーク通信を理解することから始めました.これらのテストの間に,オミクロンCMC256-6が制御ソフトウェアと通信するために使用するプロトコルを部分的にリバースエンジニアリングしました.デバイスと制御ソフトウェアをブラックボックスとして扱うことで,データ交換を理解することの複雑さを掘り下げることは,挑戦的であると同時に刺激的であることが証明された.これらのケースでは,独自のプロトコルを解読し理解することに重点を置いた.
このハッカソンは,ABB Relion 670,Elvexys XPG,Omicron Stationguard RBX1,Omicron CMC256-6など,産業環境で使用されるさまざまなデバイスを調査し,データを収集するユニークな機会となりました.この実体験により,これらのデバイスに関連する脆弱性や潜在的な脅威について貴重な洞察を得ることができました.私たちはこの機会に,これらのデバイスによって生成されたネットワークトラフィックを収集し,対応するファームウェアを抽出することに時間を費やした.
このハッカソンに参加したハイライトは,Nozomi Networks 'Guardian センサーが参加者がテストするための機器の一部として含まれていたことです.Guardian は SCADA シナリオにインストールされ,すべてのデバイスがその詳細情報(モデル,ファームウェアバージョンなど)とともに正しく識別されたことを確認できたことを誇りに思います.他の研究者が自身のパケットキャプチャ(pcap)ファイルでGuardian をテストできるようにすることで,ICSにおける堅牢なサイバーセキュリティソリューションの集合的理解に貢献することができた.
参加チームとして,私たちは実験対象としてプログラマブル・ロジック・コントローラー(PLC)と過電流保護を提供し,研究者仲間が管理された環境で自分たちのスキルをテストし,磨くことができるようにした.この協力的なアプローチにより,ハッカソン全体を通して知識の共有とチームワークの精神が強調された.
オートモーティブ・ハッカソン自動車インフォテインメント・システムのファームウェア解析と無線攻撃サーフェス
ArmasuisseのAutomotive Hackathonは,自動車のサイバーセキュリティを深く探求する舞台となった.このハッカソンの目標は,電気自動車の攻撃ベクトル,自動車とそのソフトウェア/ファームウェアの脆弱性を研究することだった.参加者は,2台のルノー・ゾー(ZE Electric),シュコダ・オクタヴィア,シュコダ・エニアックIV 80,ホンダの5台の電気自動車に触れる機会を得た.主催者はまた,OBD2ドングル,CAN-USBアダプター,ソフトウェア定義無線(HackRF,USRP),Wi-Fi/Bluetoothアンテナなど,多数のツールを提供した.
トラック1 - 電気自動車ハッキング
オックスフォード大学の2人の博士課程学生(Sebastian KöhlerとMarcell Szakaly)が,この最初の電気自動車(EV)トラックについて発表した.セッションは,EV用に最も広く使われているDC急速充電技術のひとつであるCCS(Combined Charging System)に対する攻撃「Broken Wire」の発表から始まった.この攻撃の名前は,電気自動車と充電ステーション間の確立された通信に対して,「プリアンブル」と呼ばれる特殊なパケットを空中で再生することで,この通信を妨害し,充電ステーションにエラー状態を誘発し,充電を中断させることに由来する.この攻撃は,SDRを使用することで遠隔から実行することが可能であり,大規模な車両群が標的とされ,そのため適切に充電されない状況では特に危険である.
バッテリーの動作に必要な電圧を制御する回路に干渉する攻撃者の能力に焦点を当てた論文も紹介された.このような干渉により,遠隔地の攻撃者は回路レギュレータを操作し,不正な電圧レベルを認識させることができる.その結果,指定された制限を超える電圧を通過させると,電気自動車で使用されるバッテリーに恒久的なハードウェアのサービス拒否が発生する可能性がある.
トラック2 - ファームウェア解析とファジング
この2番目のトラックでは,Tobias Scharnowski氏とJohannes Willbold氏による「Fuzzware:Using Precise MMIO Modeling for Effective Firmware Fuzzing "と題された論文で,Usenix 2022で発表された.Fuzzware は,ベアメタル・ファームウェア・イメージに対するファジングの試みを自動化することを 目的として,2 年間かけて開発されたプロジェクトである(そして,現在も維持・開発されている).このプロジェクトは,他の3つのツールの組み合わせを活用している:
- AFL++:ファジングとコードカバレッジに使われるエンジン;
- ユニコーン・エンジン:ファームウェア・エミュレーションに使用されるソリューション;
- Angr:MMIOペリフェラルが課す制約を動的に解決するためのフレームワーク.
この組み合わせにより,組み込みファームウェアのスケーラビリティを可能にする技術として,リホスティングを活用することができる.
カー・インフォテインメント・システムのファームウェア・リバース・エンジニアリング
Nozomi Networks Labsチームにとって,オートモーティブ・ハッカソンでの主な焦点はファームウェア解析とファジングのトラックであった.ファームウェアのリホストに関するワークショップでは,2つの異なるアプローチが実演された:
- アプローチ1(手動):Unicorn Engine を活用し,有名な脆弱性を再現するためにファームウェアをエミュレートすることを目的とした:CVE-2023-23609.
- アプローチ2(ファズウェアベース):目標は,単純なおもちゃのバイナリに対してFuzzwareツールを使用して,ファジングの取り組みをどのように自動化できるかを実証することであった.このようなプログラムは,正しいパスワードを挿入した後に大きな入力を提供することで,バッファオーバーフロー(したがってクラッシュ)を引き起こすことが可能なように設計された.
また,フォルクスワーゲンの MIB III インフォテインメント・システムのファームウェアを解析する機会にも恵まれた.私たちはまず,この非常に大きなアーカイブの構造を理解することに集中し,その後,私たちの注意を引いた特定のコンポーネント,例えば次のようなものに分析を移しました:
- CANバス上でやり取りされる通信メッセージの処理を担当するフリーのリアルタイム・オペレーティング(RTOS)ベースのファームウェアであるCarcomコンポーネントのリバースエンジニアリング.
- カーネルによってロードされ,後にCANメッセージの署名/認証に使用される車両コンポーネントへのキーの配布などのタスクに関与する信頼されたアプリケーションのリバースエンジニアリング.
自動車が暴露したWi-Fiの攻撃面Networks
ファームウェアの分析に加えて,我々は,Skoda Enyaq IV 80 の可能な攻撃対象として,Wi-Fi 技術の分析にも時間を費やした.この特定の車両は,乗客がナビゲーションのためにインターネットに接続できるアクセスポイントを露出しているため,潜在的な脆弱性を調査するための最初のアプローチは,SSIDを見ることができる外部の攻撃者でした.
Wi-Fi保護セットアップ(WPS)技術(Wi-Fiネットワークへのデバイスの接続を簡素化するために設計されたネットワークセキュリティ標準)は,車によって公開されたアクセスポイントで利用可能であったため,ワイヤレスネットワークのITルータに対して一般的に使用される以下のような,いくつかのよく知られた攻撃がテストされた:
- ピクシーダスト攻撃:この攻撃は,WPS PINが非ランダムで予測可能な要素に基づいているWPSプロトコルの脆弱性を悪用するもので,攻撃者はPINをブルートフォースするよりも少ない試行回数でWi-FiネットワークのWPA/WPA2パスフレーズを取得することができます.
- NULL PIN 攻撃:この攻撃は,WPS脆弱性の悪用のもう1つの形態である.このシナリオでは,攻撃者は,認証プロセスをバイパスしようと,すべてゼロ(またはNULL)で構成されるPINを送信します.不完全に実装された WPS 構成の中には,PIN を適切に検証せず,ネットワークへの不正アクセスを許可するものがあります.
- PIN攻撃:これは,WPS PINそのものに対するブルートフォース攻撃である.PINは通常8桁の数字であるため,攻撃者は正しいものが見つかるまで,あらゆる組み合わせを体系的に試すことができる.最後の桁は前の7桁のチェックサムであり,試行回数を10^7(1000万回)に減らすことができる.PINが発見されると,攻撃者はWi-FiネットワークのWPA/WPA2セキュリティ・キーにアクセスできるようになる.
このようなよく知られた攻撃に対しては,適切な緩和策が講じられていたので,いくつかのアソシエーション・リクエストのキャプチャにとどめ,もう一歩先に進むことにした.次に,アクセス・ポイントに接続した後に利用可能な内部サービスを列挙することにした.パスワードはエンドユーザがカスタマイズできるため,ユーザが特に単純なパスワードを設定し,そのパスワードが WPA-2 クラッキング技術を使用して発見された場合,このようなシナリオが発生する可能性がある.
デフォルトゲートウェイ(10.173.189.1)で利用可能なTCPサービスの標準ポートスキャンを行った結果,HTTP/RTSPサーバー(AirTunes/320.17.7)を公開する1つのポート(7000/TCP)が開いていることを確認できた.
10.173.189.1のNmapスキャンレポート
ホストは稼働している(0.0063秒の待ち時間).
表示されていない:995 個のフィルタリングされた tcp ポート(無応答),4 個のクローズされた tcp ポート(リセット)
一部のクローズドポートは,--defeat-rst-ratelimitによりフィルタリングされていると報告されることがある.
ポートステートサービス
7000/tcp open afs3-fileserver
MACアドレス2E:D1:C6:8A:C4:B5 (不明)
Nmap完了:1 IP アドレス (1 ホストアップ) を 4.49 秒でスキャン
RTSP がテキスト・ベースであることから,BurpSuite を使用してサービスと対話することが試みられ たが,この予備的な分析では,あまりに明白なものは観察されなかった.信頼できる RTSP ファザーを確立し,Skoda の異なるファームウェア・オンラインにある同じサービ スを特定するためには,より多くの時間と調査が必要である.
まとめ
この2つのハッカソンは,単なる技術競争ではなく,チームワーク,成長,革新のきっかけとなった.アルマースイスとサイバー防衛キャンパスとの協力関係は深まり,エキサイティングな研究プロジェクトが進行中である.私たちは新しい技術スキルを学び,新しいタイプのデバイスに触れ,Nozomi Networks 'Guardian の能力を披露する機会を得た.このほかにも,優秀なArmasuisseチームや同僚のセキュリティ研究者と一緒に仕事ができたことも,大きな喜びでした.
私たちとしては,このようなイベントは参加者を鋭敏で最新の状態に保つだけでなく,共有された知識や斬新なアプローチがサイバーセキュリティの研究やベストプラクティスをより広範に向上させることに貢献する環境を作り出してくれるので,非常にありがたい.
