産業用ネットワークが無線領域に拡大するにつれ、新たな脆弱性が重要なインフラを潜在的なサイバー脅威にさらしています。この進化に伴い、産業環境内の無線デバイスの保護が不可欠になっています。の立ち上げ以来 Guardian AirNozomi Networks は、特に無線面での保護強化の必要性を強調している。
このことを認識し、Nozomi Networks Labs は、EKI-6333AC-2G 産業用グレード無線アクセス・ポイントのバージョン 1.6.2 の解析を実施しました。このデバイスは、厳しい環境下での耐障害性により、自動車組立ラインからロジスティクスの倉庫管理・配送業務に至るまで、さまざまな分野で利用されています。私たちの分析では、20の脆弱性が特定され、それぞれに固有のCVE識別子が割り当てられました。これらの脆弱性は、root権限による認証なしのリモートコード実行を可能にし、それによって影響を受けるデバイスの機密性、完全性、可用性を完全に損なうという重大なリスクをもたらします。
これらの問題のトリアージと確認後、アドバンテックはEKI-6333AC-2GおよびEKI-6333AC-2GDの脆弱性に対応するファームウェアバージョン1.6.5とEKI-6333AC-1GPOのファームウェアバージョン1.2.2をリリースしました。アドバンテックと調整した責任ある開示プロセスにより、EKI-6333AC-2GDおよびEKI-6333AC-1GPOデバイスも、ファームウェアコードが共有されているため、これらの脆弱性の影響を受けることが確認されました。
この記事では、特定されたセキュリティ脆弱性の概要を説明し、その潜在的な影響について論じ、推奨される緩和策を示します。影響を受けるデバイスとバージョンの包括的なリストについては、以下のセクション「脆弱性リストと影響を受けるバージョン」を参照してください。
研究範囲
アドバンテックのEKI-6333AC-2G(図1)は、厳しい環境向けに設計された産業グレードの無線アクセスポイントで、安定したデュアルバンドWi-Fi接続を提供します。特に、耐久性とセキュアな接続が不可欠な製造、エネルギー、公共インフラなどの産業環境におけるミッションクリティカルなアプリケーションに適しています。
このような無線デバイスがどのように使用されているかは、アドバンテックのケーススタディで詳しく説明されており、電気自動車(EV)メーカーが、Wi-Fi対応のレール誘導車(RGV)を活用してバッテリ生産ラインの自動化に成功した方法を説明しています。これを実現するために、アドバンテックのEKI-6333AC-2GとEKI-1361ソリューションが採用され、干渉の可能性があり、安全性のためにスムーズなリアルタイム制御と通信が必須である複雑な生産レイアウトをRGVがナビゲートできるようにしました(図2)。
私たちの研究は、産業環境において中断のない安全な通信を確保するために重要な、接続プロトコル、データ処理、セキュリティ・メカニズムなど、EKI-6333AC-2Gの主要な運用分野に焦点を当てました。これらの領域は、有線レベルでも無線スペクトル内でも、脅威行為者にとって潜在的な侵入口となります。
これらの脆弱性の影響は?
これらの脆弱性のうちいくつかは、最終的にアクセス・ポイントに対するroot権限でのリモート・コード実行(RCE)につながる可能性があることから、クリティカル(Critical)と評価されている。これにより、脅威者はデバイスの機密性、完全性、可用性を侵害することができる。可能性のある攻撃ベクトルは 2 つ特定された:
- 攻撃ベクトル 1(LAN/WAN):攻撃ベクトル1(LAN/WAN):攻撃者がネットワーク経由でアクセス・ポイントと直接やり取りできる状況では、脆弱なサービスを標的とした悪意のあるリクエストを作成することで、これらの脆弱性を悪用することができます。
- 攻撃ベクトル2(Over-the-Air ):この場合、攻撃者は有線(LAN/WAN)または無線(WLAN)ネットワークに接続している必要はありません。攻撃者はデバイスに物理的に近づくだけで、ワイヤレス・スペクトラムを悪用してデバイス上でコードを実行することができます。このシナリオについては、以下の「脆弱性スポットライト」のセクションで詳しく説明する。
これらの重大度レベルを考えると、悪意のあるユーザーは次のような結果を得る可能性がある:
- 内部リソースへの持続的アクセス:内部リソースへの永続的なアクセス:デバイス上でコードが実行されると、悪意のあるユーザは、永続的なアクセスを維持するためにバックドアを埋め込む可能性があります。このセットアップにより、マルウェア感染(電子メール経由など)により最初のアクセスを獲得し、アドバンテックのデバイスを侵害することで永続的なアクセスを確立するシナリオが可能になります。
- サービス拒否(DoS):上記の「調査範囲」で説明したようなシナリオ(複雑な生産レイアウトを移動するワイヤレス RGV を制御するバックボーン・ネットワークとして脆弱なアクセス・ポイントが機能する場合)では、これらの重要なアクセス・ポイントを改ざんすると、生産ラインの自動化プロセスが大幅に中断する可能性があります。
- 横方向への移動:デバイスの root 権限を獲得することで、攻撃者はアクセス・ポイントを完全に機能する Linux ワークステー ションとして再利用できるようになり、ネットワーク内をさらに探索・侵入するための新たな足がかりを得る ことができます。これは例えば、暗号化されていないプロトコルで送信された認証情報をキャプチャする中間者攻撃(Man-in-the-Middle Attack)や、一般に公開されているエクスプロイトを使用して、パッチが適用されていないデバイスの既知の脆弱性を悪用することで実現できます。
脆弱性リストと影響を受けるバージョン
以下の表は、以下のデバイスで確認された脆弱性の一覧です:EKI-6333AC-2G、EKI-6333AC-2GD、EKI-6333AC-1GPO。Nozomi Networks 研究所は、ファームウェア・バージョン 1.6.2 に対して脆弱性調査活動を実施した。結果は、CVSS 3.1 スコアによって、最も深刻なものから最も深刻でないものへとソートされている。
脆弱性スポットライト
このブログの「Vulnerability Spotlight(脆弱性スポットライト)」では、発見されたクリティカルに分類されるコマンド・インジェクションに焦点を当てるのではなく、2つの特定の脆弱性を連鎖させて任意のコードを実行させる無線攻撃シナリオを取り上げることにした。このシナリオは、可能性のある攻撃ベクトルとしてワイヤレス・スペクトラムを含むため、より興味深いものであり、より高い隔離性により通常「より安全」と考えられている製造施設を攻撃者がどのように標的に選ぶかについて異なる視点を提供するものであると私たちは考えています。
この攻撃は「CWE-79 - ウェブページ生成時の入力の不適切な中和(クロスサイト・スクリプティング)」(CVE-2024-50376)を組み合わせたもので、攻撃者は企業ネットワークに接続していなくてもこの攻撃を利用することができます。
この攻撃がどのように実行されるかを説明する前に、ワイヤレス・アクセス・ポイントがどのように機能するかを簡単に説明することが重要である。簡単に言うと、Wi-Fiアクセス・ポイントはワイヤレス・スペクトラムと有線ネットワークの橋渡し役として機能する。アクセス・ポイントは、"ビーコン・フレーム "と呼ばれるクリア・テキスト・メッセージを定期的に送信する。これらのフレームは、ネットワークの存在を告知し、ネットワーク名(SSID)や信号電力などの重要な詳細を伝え、ラップトップやスマートフォンなどのエンドユーザーデバイスがすでに確立された接続を発見し、維持するようガイドする。そのため、無線接続をサポートするすべてのデバイスは、ビーコン・フレームやWi-Fi通信に関連する他のすべての種類のフレームを受信、解析、解釈するためのロジックを実装する専用のハードウェアとソフトウェアを備えています(同様のロジックはBluetooth通信にも適用できます)。アドバンテックのアクセス・ポイントのように、これらのプロセスのいずれかに脆弱性が見つかった場合、この脆弱性によってデバイス自体のセキュリティが脅かされる可能性がある。さらに、このような脆弱性は、連鎖的な影響を及ぼす可能性があり、侵害されたデバイスが攻撃者の侵入口として機能する可能性があるため、ネットワークの残りの部分に即時かつ広範なセキュリティ上の影響を及ぼす可能性がある。
この簡単な説明で、CVE-2024-50376 と CVE-2024-50376 がどのように悪用されるかを理解することができます。まずはじめに、悪意のあるユーザーがアドバンテックのアクセスポイントに物理的に近接し、攻撃者が不正な無線アクセスポイントから情報をブロードキャストするのに十分な距離にいる必要があります。この用語では、攻撃者が完全に制御し、アドバンテックのアクセス・ポイントとは別の偽のアクセス・ポイントを指します。不正アクセス・ポイントを利用することで、攻撃者は、無線機能を持つ周囲のデバイスから受信してキャプチャした任意の「ビーコン・フレーム」をブロードキャストすることができます。不正な無線フレームがアドバンテックのデバイスに確実に見えるようにするため、攻撃者はアクセスポイントの近くに身を置くか、専用アンテナを活用して不正な信号を長距離に伝搬させます。いずれのケースでも、攻撃者は外部であり、アドバンテックのアクセス・ポイントを経由して公開された社内ネットワークに接続されていないことを理解することが重要です。
物理的な近さの要件は満たされていると仮定すると、次に2つ目の要件として、アドバンテックのウェブ・アプリケーション(図3)の "Wi-Fi Analyzer "セクションにアクセスする管理者レベルのユーザーを満たす必要があります。
この手順は、フィッシングやソーシャル・エンジニアリングによって被害者を誘導するか、あるいは定期的な保守作業中に起こりうるように、管理者が脆弱なウェブページにアクセスするのを単純に待つことによって得ることができる。
Wi-Fi Analyzer」セクションにアクセスすると、ウェブ・アプリケーションはビーコン・フレームを通じて受信した情報を、特殊文字に対する適切なサニタイズなしに自動的に埋め込みます。攻撃者が不正アクセスポイントを通じてブロードキャストする可能性のある情報の1つは、SSID(一般的に「Wi-Fiネットワーク名」と呼ばれる)です。そのため、攻撃者は不正アクセス・ポイントのSSIDとしてJavaScriptペイロードを挿入し、CVE-2024-50376を悪用してWebアプリケーション内でクロスサイト・スクリプティング(XSS)の脆弱性を誘発する可能性があります。これは、外部の攻撃者が被害者のブラウザに任意の JavaScript コードを注入できるため、ユーザー・セッションに直接接続しているかのように任意の操作を実行できることを意味します。図 4 は、攻撃者が悪意のある SSID を制御することで、被害者のブラウザで引き起こすことができる警告メッセージ・ボックスを PoC として表示しています。
この段階に達すると、攻撃者は被害者のブラウザ内に完全なJavaScriptベースのC&Cを注入し、例えばBrowser Exploitation Framework (BeEF)のような容易に利用可能なツールを活用して任意の操作を実行することができる。Wi-Fi標準はSSIDの長さを32文字に制限しているが、この制限を回避することが可能であることが証明された。
攻撃者は、すでにウェブ・インターフェースを介してデバイスの設定を制御することができるが、CVE-2024-50359を連鎖させることで、さらに一歩踏み込むことができる。この脆弱性は、認証されたコマンド・インジェクションを伴うもので、管理パネルを通じて起動することができるため、より深いシステム操作が可能です。ウェブ・アプリケーションを実行するプロセスは、アドバンテックのデバイス上でルート権限で実行されるため、オペレーティング・システム・レベルでデバイス上に注入された任意のコマンドの実行において、特に制限はありません。そのようなコマンドの1つは、リバースシェルを介してインターネットに面したC&Cマシンへの持続的な接続を確立させることです。これにより、攻撃者は侵害されたデバイスをリモートで制御し、コマンドを実行し、さらにネットワークに侵入してデータを抽出したり、追加の悪意のあるスクリプトを展開したりすることが可能になる。
図5は、デバイス上でroot権限を持つシェルを取得した攻撃結果を示している。
以下の図は、最初はネットワークに接続されていない攻撃者から始まり、最終的に生産ラインへの影響につながる攻撃チェーンのすべてのステップをまとめたものです。
修復
これらの脆弱性が報告された後、アドバンテックは以下のファームウェアバージョンをリリースし、速やかに対処しました:
- EKI-6333AC-2G: v1.6.5
- EKI-6333AC-2GD: v1.6.5
- EKI-6333AC-1GPO: v1.2.2
不正アクセスからネットワークとデバイスを保護するため、すべての資産所有者にこの最新バージョンへのアップグレードをお勧めします。さらに、図7は、Nozomi Networks ' によって導入された検出機能の強化を強調しています。 Guardian Airワイヤレス・センサは、標準的なモニタリング・ソリューションでは検出されないような、この種のオーバー・ザ・エア・アタックを検出してアラートを報告する上で有効であることを実証しています。
