先月、米国家安全保障局(NSA)とサイバーセキュリティ・インフラストラクチャ安全保障局(CISA)は、共同サイバーセキュリティ・アドバイザリー"制御システム防衛:相手を知るを発表し、悪意ある行為者がOT/ICS 資産を侵害するために使用する戦術、技術、手順(TTPs)について説明している。この勧告で言及されているテクニックの1つは、ウクライナの電力網に対するサイバー攻撃で採用された MITRE ATT&CKT0832 "Manipulation of View "である。この攻撃の目的は、「標的システムを監視するオペレータの能力を低下させるか、または標的システムを操作、制御、監視する制御システムの能力に対するオペレータの信頼を低下させる」ことである。機能的には、行為者はオペレータのディスプレイ(ヒューマンマシンインターフェース、HMI)が更新されるのを阻止し、HMI上の視覚化を選択的に更新または変更することができる[...]」。
2022年5月、HVACおよびビルサービス工場向けのDesigo/APOGEEファミリーのビルディングオートメーションシステム(BAS)であるシーメンスPXC4.E16に関するセキュリティ研究の結果を発表した。同調査では、BASの遠隔監視用に設計されたウェブサーバー内蔵タッチパネル、シーメンスPXM30.Eも分析した。
このブログでは、シーメンスの複数の Desigo Control Point システムに影響する 7 つの脆弱性(SiemensSSA-360783 で追跡されている)を公開します。これらの脆弱性により、攻撃者は潜在的に機密情報へのアクセス、任意のコマンドの実行、サービス運用妨害(DoS)攻撃、リモートコード実行(RCE)を行う可能性があります。
背景
ユーザーは主に3つの方法でPXM30.Eと対話することができる:
- ABT Siteは、シーメンスのビルオートメーションシステムのエンジニアリングと試運転を行うPCベースのソフトウェアです。ABTサイトは、ビル構造の定義、オートメーション・ネットワークとデバイスの設定、エンジニアリングと試運転状況のレポート、ルーム・オートメーション・アプリケーション、オートメーション・ステーション、インテリジェント・フィールド・デバイスの設定、Desigo Control Point(図1)のグラフィックの構築に使用されます;
- は、装置自体によって公開されるウェブ・アプリケーションを介し て遠隔操作される。ウェブ・アプリケーションを通じて、オペレーターはプラント機能(アラーム、スケジューラー、カレンダー、セットポイント変更、センサー測定値の表示など)を監視し、装置自体のメンテナンス操作を実行することができます(図2)。
- デバイスのタッチパネルから物理的にアクセスし、リモートで公開されているのと同じウェブアプリケーションにアクセスできるように設定されたChromiumベースのウェブブラウザを表示する。
シーメンスの脆弱性が見つかる
このデバイスを分析した結果、上記の3つの攻撃サーフェスすべてに影響する以下の7つの脆弱性を発見することができた:
- CVSS v3.1 8.0 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C): OS コマンドで使用される特殊要素の不適切な無効化 ('OS コマンドインジェクション')
- CVE-2022-40177 権限のない行為者への機密情報の暴露、CVSS v3.1 5.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C)
- CVE-2022-40178: ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング'), CVSS v3.1 4.8 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N/E:P/RL:O/RC:C)
- CVE-2022-40179: クロスサイトリクエストフォージェリ (CSRF)、CVSS v3.1 6.8 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C)
- CVE-2022-40180: クロスサイトリクエストフォージェリ (CSRF)、CVSS v3.1 5.3 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N/E:P/RL:O/RC:C)
- CVE-2022-40181: ウェブページにおける符号化された URI スキームの不適切な中和、 CVSS v3.1 8.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H/E:P/RL:O/RC:C)
- CVE-2022-40182: 不要な特権による実行、CVSS v3.1 8.8 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C)
これらの脆弱性は、以下の製品とバージョンに影響する:
- Desigo PXM30-1: All versions < V02.20.126.11-41
- Desigo PXM30.E: All versions < V02.20.126.11-41
- Desigo PXM40-1: All versions < V02.20.126.11-41
- Desigo PXM40.E: All versions < V02.20.126.11-41
- Desigo PXM50-1: All versions < V02.20.126.11-41
- Desigo PXM50.E: All versions < V02.20.126.11-41
- PXG3.W100-1: All versions < V02.20.126.11-37
- PXG3.W100-2: All versions < V02.20.126.11-41
- PXG3.W200-1: All versions < V02.20.126.11-37
- PXG3.W200-2: All versions < V02.20.126.11-41
CVE分析
このセクションでは、CVE-2022-40176、CVE-2022-40179 & CVE-2022-40180、CVE-2022-40181 の詳細を提供します。
CVE-2022-40176
ABTサイトを通じて実行されるリストア操作の間、デバイス上で実行されている「sysone」実行ファイルは、以下の方法で入力パッケージの抽出を実行する:
- 圧縮ファイル名をOSシステムコマンドに注入し(「snprintf」関数を呼び出す。
- コマンドを引数として"/bin/sh "の "execve "システムコールを使って)Linuxシェルを通して実行する。
このステップの前に入力ファイル名の検証は行われない。コマンド置換構文を含むファイル名を作成し、それをリストアパッケージに含めることで、デバイスの root 権限で任意のコードが実行される可能性がありました。
CVE-2022-40179およびCVE-2022-40180
ウェブ・アプリケーションの HTTP リクエストとレスポンスを分析したところ、以下のエンドポイントに CSRF の脆弱性があることに気づきました:
- "/api/desigo/eval "と"/api/desigo/evalAll "は、Axon言語クエリを解釈し実行します(CVE-2022-40179);
- "/api/desigo/ext/finstack/fileUpload "は、ウェブアプリケーションの "Import Files "機能を担当しています(CVE-2022-40180)。
これらの脆弱性はあまり重要ではないように思われるかもしれませんが、ウェブアプリケーションは、脅威者が任意のJavaScriptコードを含むパッケージをアップロードすることを可能にします。その結果、これらの脆弱性が連鎖すると、非常に強力な攻撃プリミティブを提供します。特に、概念実証のウェブページ(図 4)を開発することが可能であり、デバイスのウェブ・インターフェースにログインしている間に、知らない被害者が訪問した場合、そのウェブページは攻撃される可能性があります:
- まず、CSRF攻撃によって恒久的な任意のJavaScriptコードをデバイスに埋め込む;
- 被害者を強制的に侵害されたウェブページにリダイレクトさせ、任意のJavaScriptコードを実行させる。
- 最終的に、その人のセッション・クッキーとパスワード・ハッシュを盗む。
CVE-2022-40181
キオスク」モード機能を提供するデバイスに関して言えば、Chromiumベースのウェブブラウザは、ユーザーがアドレスバーと対話することを妨げるように設定されている。しかし、Web ブラウザ単体では、(JavaScript などの)コードによるリダイレクトに対する制限はなく、正規の「http」や「https」以外の URI スキーム(例えば、「file」や「chrome」)でのインタラクションを許可していることに気づきました。さらに、ブラウザがデバイスの root として動作していることにも気づきました。これらの欠陥をすべて組み合わせることで、可能性が生じました:
- ブラウザーがファイルシステム上の機密ファイルを任意にトラバースして読み取る悪用(図5に示すように、デバイス上で実行されているウェブアプリケーションが使用しているTLS証明書のRSA秘密鍵を示している)。
- ブラウザをクラッシュさせるように設計された特定のChromiumテスト用URIにブラウザをリダイレクトさせることで、タッチパネルにDoS状態を引き起こす(物理的に使用不能にする)(図6に示すように、「chrome://inducebrowsercrashforrealz」URIを開いた後のデバイス)。
修復
シーメンスは、すべての問題を修正するアップデートをリリースしました。対象となるデバイスへのパッチ適用方法の詳細については、シーメンスの公式セキュリティアドバイザリまたは製品サポートノート109813821を参照してください。
概要
HMI は、生産ネットワークにおいて保護すべき重要なターゲットである。MITRE ATT&CK T0832 で述べられているように、「操作されたシステムビューにより、オペレータはシステ ムに欠陥や致命的な障害をもたらす不適切な制御シーケンスを発行する可能性がある。ビジネス分析システムにも不正確なデータが提供され、誤った経営判断につながる可能性がある。NSAとCISAの共同勧告が、実際の侵入で脅威行為者が使用する一般的なパターンの1つとして、HMIや同様のデバイスに対するサイバー攻撃を挙げていることからも確認できるように、これらの攻撃シナリオは突飛なものではない。
このブログでは、複数のSiemens Desigo Control Pointデバイスに影響を及ぼす7つの脆弱性を明らかにしました。これらの脆弱性は、機密情報へのアクセス、DoS、またはRCEなどの攻撃を実行するために悪用される可能性があります。
エンドユーザーには、シーメンスがリリースしたパッチを適用して、脆弱性のあるデバイスを速やかに更新することを推奨する。Nozomi Networks また、悪用の試みを検出するために、Threat Intelligence サービスに特定の更新をリリースした。
