産業用ネットワークが無線領域に拡大するにつれ,新たな脆弱性が重要なインフラを潜在的なサイバー脅威にさらすことになります.このような進化に伴い,産業環境における無線デバイスの保護が不可欠となっています.Guardian Airのリリース以降,Nozomi Networks は,特にワイヤレスでの保護強化の必要性を強調しています.
これを踏まえ,Nozomi Networks Labs は,産業用ワイヤレスアクセスポイント EKI-6333AC-2G のバージョン 1.6.2 の分析を行いました.このデバイスは,困難な環境下でも耐性があるため,自動車の組み立てラインから物流倉庫や流通業務まで,さまざまな分野で利用されています.当社の分析により,20件の脆弱性が特定され,それぞれに固有の CVE 識別子が割り当てられました.これらの脆弱性は,ルート権限による認証されていないリモートコード実行を可能にし,影響を受けるデバイスの機密性,完全性,可用性を完全に損なう重大なリスクをもたらします.
これらの問題の優先順位づけと確認後,Advantech は EKI-6333AC-2G および EKI-6333AC-2GD の脆弱性に対応するファームウェアバージョン 1.6.5 と,EKI-6333AC-1GPO 用のファームウェアバージョン 1.2.2 をリリースしました.Advantech との調整による責任ある情報開示プロセスを通じて,EKI-6333AC-2GD および EKI-6333AC-1GPO デバイスも,ファームウェアコードが共通しているため,これらの脆弱性の影響を受けることが確認されました.
この記事では,特定されたセキュリティ脆弱性の概要を説明し,その潜在的な影響について論じ,推奨される緩和策を示します.影響を受けるデバイスとバージョンの包括的なリストについては,以下のセクション「脆弱性リストと影響を受けるバージョン」を参照してください.
リサーチ範囲
Advantech の EKI-6333AC-2G (図1) は,過酷な環境向けに設計された産業用グレードのワイヤレスアクセスポイントで,安定したデュアルバンド Wi-Fi 接続を提供します. 特に,耐久性とセキュアな接続が不可欠な製造,エネルギー,公共インフラなどの産業環境におけるミッションクリティカルなアプリケーションに適しています.
このようなワイヤレスデバイスがどのように使用されているかは,Advantech のケーススタディで詳しく説明されており,EV メーカーが Wi-Fi 対応のレールガイド車両 (RGV) を活用してバッテリー生産ラインの自動化を実現した方法が説明されています.これを実現するために,Advantech の EKI-6333AC-2G および EKI-1361 ソリューションが採用され,干渉の可能性があり,安全上の理由からスムーズなリアルタイム制御と通信が必須である複雑な生産レイアウトに RGV が侵入できるようにしました (図2).
当社のリサーチは,EKI-6333AC-2G の主要な運用領域に焦点を当てたものです.これには,産業環境における途切れない安全な通信を確保するために重要な,接続プロトコル,データ処理,セキュリティメカニズムなどが含まれます.これらの領域は,有線レベルおよび無線スペクトラム内において,脅威をもたらす行為者にとって潜在的な侵入ポイントとなります.
これらの脆弱性の影響
これらの脆弱性のうちのいくつかは,最終的にアクセスポイント上でルート権限による RCE (リモートコード実行) につながる可能性があるため,重大な脆弱性として評価されています.これにより,脅威の主体がデバイスの機密性,完全性,可用性を侵害することが可能になります.ふたつの攻撃ベクトルが特定されました.
- 攻撃ベクトル 1 (LAN/WAN):攻撃者がネットワーク経由でアクセスポイントと直接やりとりできる状況では,脆弱なサービスを標的とした悪意のあるリクエストを作成することで,これらの脆弱性を悪用することができます.
- 攻撃ベクトル 2 (Over-the-Air):さらに,攻撃者が有線 (LAN/WAN) または無線 (WLAN) ネットワークに接続していなくても,無線ネットワーク上で発生する追加のシナリオがあります.攻撃者は,デバイスに物理的に近づくだけで,無線スペクトルを悪用してデバイス上でコードを実行することができます.このケースについては,以下の「脆弱性の注目点」のセクションでさらに詳しく説明します.
これらの重大度レベルを考えると,悪意のあるユーザーが次のような結果を得る可能性があります.
- 内部リソースへの持続的アクセス:デバイス上でコードの実行が成功すると,悪意のあるユーザーがバックドアを仕掛けて永続的なアクセスを維持することが可能になります.この設定により,マルウェア感染 ( たとえば,E メール経由) によって初期アクセスが取得され,Advantech のデバイスが侵害されることで永続性が確立されるというシナリオが可能になります.
- DoS (サービス拒否):上記「調査範囲」のセクションで説明されているようなシナリオ,すなわち,脆弱なアクセスポイントが複雑な生産レイアウトを移動するワイヤレス RGV を制御するバックボーンネットワークとして機能している場合,これらの重要なアクセスポイントを改ざんする能力があれば,生産ラインの自動化プロセスを大幅に混乱させる可能性があります.
- 水平方向への移動:デバイス上でルート権限を取得すると,攻撃者はアクセスポイントを完全に機能する Linux ワークステーションとして再利用することが可能となり,ネットワーク内でのさらなる探索や侵入のための新たな足がかりを得ることができます.これは,たとえば,暗号化されていないプロトコル上で送信される認証情報を取得するためのマンインザミドル攻撃を実行したり,パッチが適用されていないデバイスに存在する既知の脆弱性を,一般に公開されているエクスプロイトを利用して悪用したりすることで実現できます.
脆弱性リストと影響を受けるバージョン
以下の表は,EKI-6333AC-2G,EKI-6333AC-2GD,EKI-6333AC-1GPO に存在することが確認された脆弱性を列挙したものです.Nozomi Networks Labs は,ファームウェアバージョン1.6.2 を対象に脆弱性調査を実施しました.結果は,CVSS 3.1 スコアの高いものから順に並べられています.
脆弱性スポットライト
このブログの「脆弱性スポットライト」では,重大と分類されたコマンドインジェクションに焦点を当てるのではなく,ふたつの特定の脆弱性を組み合わせることで任意のコード実行につながる OTA 攻撃シナリオを取り上げることにしました.このシナリオは,無線スペクトルが攻撃ベクトルとして考えられる可能性があること,また,通常はより隔離されているため「より安全」と考えられている製造施設を攻撃者が標的にすることを選択する可能性について,異なる視点を提供していることから,当社の見解では,より興味深いものとなっています.
この攻撃は「CWE-79 - ウェブページ生成時の入力の不適切な中和(クロスサイト・スクリプティング)」(CVE-2024-50376)を組み合わせたもので,攻撃者は企業ネットワークに接続していなくてもこの攻撃を利用することができます.
攻撃の実行方法について説明する前に,ワイヤレスアクセスポイントの仕組みについて簡単に説明することが重要です.簡単に言えば,Wi-Fiアクセスポイントは,ワイヤレススペクトラムと有線ネットワークの間のブリッジとして機能します.アクセスポイントは,定期的に「ビーコンフレーム」と呼ばれる平文のメッセージを無線で送信します.これらのフレームはネットワークの存在を通知し,ネットワーク名 (SSID) や信号の強度などの重要な詳細情報を伝達し,すでに確立された接続を発見し維持するために,ラップトップやスマートフォンなどのエンドユーザーデバイスをガイドします. したがって,ワイヤレス接続をサポートするすべてのデバイスには,ビーコンフレームや Wi-Fi 通信に関わるその他のすべてのタイプのフレームを受信,解析,解釈できるロジックを実装するための専用ハードウェアとソフトウェアが装備されています (同様のロジックは Bluetooth 通信にも適用できます).もしこれらのプロセスのいずれかに脆弱性が発見された場合,たとえば Advantech Access Point の場合,この脆弱性はデバイスのセキュリティ自体を危険にさらす可能性があります.さらに,このような脆弱性は連鎖反応を引き起こし,潜在的に,攻撃者の侵入ポイントとして危険にさらされたデバイスが機能することで,即座に,より広範囲にわたるネットワークのセキュリティに影響をおよぼす可能性があります.
この簡単な説明により,CVE-2024-50376 と CVE-2024-50376 がどのように悪用される可能性があるのかをより理解することができます.まず,悪意のあるユーザーが Advantech Access Point に物理的に近づく必要があります.攻撃者が不正なワイヤレスアクセスポイントから情報をブロードキャストできる距離が必要です.この用語では,攻撃者が完全に制御し, Advantech Access Point とは別個の偽のアクセスポイントを指します.不正なアクセスポイントを利用することで,攻撃者は,ワイヤレス機能を持つ周辺デバイスから受信およびキャプチャされた任意の「ビーコンフレーム」をブロードキャストできます.不正なワイヤレスフレームが Advantech Access Point に確実に表示されるように,攻撃者はアクセスポイントの近くに身を置くか,不正な信号をより長い距離にわたって伝搬させるために専用のアンテナを利用します.いずれの場合も,脅威の主体は外部に留まり, Advantech Access Point 経由で公開された企業ネットワークには決して接続されていないことを理解することが重要です.
物理的な近接要件が満たされていると仮定すると,次に満たさなければならない要件は,図3 に示す Advantech Web Application の「Wi-Fi Analyzer」セクションに管理者レベルのユーザーがアクセスすることです.
この手順は,フィッシングやソーシャル・エンジニアリングによって被害者を誘導するか,あるいは定期的な保守作業中に起こりうるように,管理者が脆弱なウェブページにアクセスするのを単純に待つことによって得ることができる.
Wi-Fi Analyzer」セクションにアクセスすると,ウェブ・アプリケーションはビーコン・フレームを通じて受信した情報を,特殊文字に対する適切なサニタイズなしに自動的に埋め込みます.攻撃者が不正アクセスポイントを通じてブロードキャストする可能性のある情報の1つは,SSID(一般的に「Wi-Fiネットワーク名」と呼ばれる)です.そのため,攻撃者は不正アクセス・ポイントのSSIDとしてJavaScriptペイロードを挿入し,CVE-2024-50376を悪用してWebアプリケーション内でクロスサイト・スクリプティング(XSS)の脆弱性を誘発する可能性があります.これは,外部の攻撃者が被害者のブラウザに任意の JavaScript コードを注入できるため,ユーザー・セッションに直接接続しているかのように任意の操作を実行できることを意味します.図 4 は,攻撃者が悪意のある SSID を制御することで,被害者のブラウザで引き起こすことができる警告メッセージ・ボックスを PoC として表示しています.
この段階に達すると,攻撃者は被害者のブラウザ内に完全なJavaScriptベースのC&Cを注入し,例えばBrowser Exploitation Framework (BeEF)のような容易に利用可能なツールを活用して任意の操作を実行することができる.Wi-Fi標準はSSIDの長さを32文字に制限しているが,この制限を回避することが可能であることが証明された.
攻撃者は,すでにウェブ・インターフェースを介してデバイスの設定を制御することができるが,CVE-2024-50359を連鎖させることで,さらに一歩踏み込むことができる.この脆弱性は,認証されたコマンド・インジェクションを伴うもので,管理パネルを通じて起動することができるため,より深いシステム操作が可能です.ウェブ・アプリケーションを実行するプロセスは,アドバンテックのデバイス上でルート権限で実行されるため,オペレーティング・システム・レベルでデバイス上に注入された任意のコマンドの実行において,特に制限はありません.そのようなコマンドの1つは,リバースシェルを介してインターネットに面したC&Cマシンへの持続的な接続を確立させることです.これにより,攻撃者は侵害されたデバイスをリモートで制御し,コマンドを実行し,さらにネットワークに侵入してデータを抽出したり,追加の悪意のあるスクリプトを展開したりすることが可能になる.
図5 は,デバイス上で root 権限を持つシェルを取得した攻撃結果を示しています.
次の図は,攻撃チェーンに関わるすべてのステップを要約したもので,当初ネットワークに接続されていない攻撃者から始まり,最終的に生産ラインへの影響につながるものです.
修復
これらの脆弱性が報告された後,Advantech は迅速に対応し,以下のファームウェアバージョンをリリースしました.
- EKI-6333AC-2G: v1.6.5
- EKI-6333AC-2GD: v1.6.5
- EKI-6333AC-1GPO: v1.2.2
機器所有者には,この最新バージョンにアップグレードしてネットワークとデバイスを不正アクセスから保護することを推奨します.さらに,図 7 では,Nozomi NetworksのGuardian Airワイヤレスセンサによって強化された検出機能が強調されており,標準的なモニタリングソリューションでは検出されないこれらの種類の無線攻撃を検出してアラートを報告するその有効性が示されています.
