この記事は2020年3月3日に更新されました。
医療、運輸、航空、その他の産業など、重要なインフラ分野で広く使用されている有名なRTOS(リアルタイム・オペレーティングシステム)が、「URGENT/11」と呼ばれる一連の11の脆弱性の影響を受けている。
IoT 、セキュリティベンダーのArmis*が最初に報告・分析し、さらにVxWorksのインシデントレスポンスによって説明されたこの脆弱性は、攻撃者がユーザーの操作なしにデバイスを乗っ取ることができるという点で特に注目されています。また、これらの脆弱性はワームを使って悪用することができ、非常に迅速に拡散するため、重要なセクターが攻撃にさらされる可能性があります。
URGENT/11に対する4つの脅威シグネチャはすぐに公開されましたが、これらのシグネチャをレガシーデバイスを含む産業用ネットワークで使用すると、多くの誤検出が発生する可能性があります。当社の顧客がこの問題を回避できるよう、Nozomi Networks Labs は、このシグネチャを直ちに当社のThreat Intelligence に組み込むことはしませんでした。その代わりに、脆弱性のあるデバイスについてラボで調査を行い、従来の IT 環境と同様に産業環境でも正確に動作する 11 の脆弱性すべてに関連するエクスプロイトを特定する独自のシグネチャを迅速に開発しました。
URGENT/11の調査と、Threat Intelligence 、ICSオペレータが誤検知に不必要な時間や注意を払うことなく脅威を特定する方法についてお読みください。
URGENT/11 脆弱性とは何か、なぜ重要なのか?
URGENT/11の影響を受けるVxWorks RTOSは、重要な産業機器、医療機器、企業向け機器の20億台以上(!)のデバイスで使用されています。脆弱性はVxWorksのTCP/IPスタック(IPnet)に存在すると報告されており、バージョン6.5以降のすべてのバージョンが影響を受けます。
VxWorksの一部のバージョンは影響を受けません。以下のものが該当します:
- VxWorks、2019年7月19日にリリースされたバージョン7には、発見された脆弱性の修正が含まれています。
- VxWorks 653およびVxWorks Cert Editionは、安全認証用に設計された製品バージョンで、運輸など特定の重要インフラ産業で使用されています。
影響を受けるVxWorksバージョン6.5以降について:
- 脆弱性のうち6つはクリティカルに分類され、リモートコード実行(RCE)を可能にする。
- 脆弱性のうち5つは、サービス拒否、情報漏洩、論理的欠陥に分類される。
この脆弱性は極めて深刻である:
- 攻撃者は、ユーザーの操作なしにデバイスを乗っ取ることができ、また、ファイアウォールやNATソリューションなどの境界セキュリティデバイスをバイパスすることができる。
- この脆弱性は「ワーム可能」であり、マルウェアをネットワーク内やネットワークに伝播させるために利用できる。
- SCADA、エレベーター、産業用コントローラー、患者用モニター、MRI装置、ファイアウォール、ルーター、モデム、VOIP電話、プリンターなどの機器に影響を与える。
- IPnet(VxWorksのTCP/IPスタック)は、2006年にウインドリバーがVxWorksを買収する以前から他のオペレーティングシステムで使用されていたため、より広範囲に影響を及ぼす可能性があります。
URGENT/11エクスプロイトに基づく攻撃は、WannaCryマルウェアの拡散に使用されたEternalBlue脆弱性に似た、深刻かつ広範な結果をもたらす可能性がある。
URGENT/11 - 公開されている脅威シグネチャがICSに過度に役立たないのはなぜか?
URGENT/11脆弱性が最初に発見された後、いくつかの脆弱で誤検知しやすい検知シグネチャがオンラインで公開された。そのほとんどは、悪用フェーズの事前条件を検出するために設計されたと思われるが、その結果は、広範囲に及ぶ異種ネットワークで使用するにはあまりにも汎用的である。このような環境では、誤検出が多すぎて対処できない可能性がある。
URGENT/11脆弱性の公開は、ICSコミュニティに対し、重要なデバイスのセキュリティ・レベルを高めるよう警告を発しているが、有用であるためには、エクスプロイトを検出する効率的で正確な方法が必要である。課題は、脆弱性に関連する問題がTCP/IPフラグとオプションの予期せぬ組み合わせに依存していることだ。
公開されている唯一のシグネチャは、URGENT/11脆弱性の潜在的な悪意のある使用を検出することを目的とした4つのシグネチャのセットを含むSNORTルールである。
alert ip any any -> any any (ipopts: ssrr; msg: "OS-VXWORKS Use of SSRR option, potential attempt to exploit an Urgent11 RCE vulnerability"; reference:cve,2019-12256; classtype:attempted-admin; reference:url,armis.com/urgent11; rev: 1; sid:1000004)
URGENT/11 SNORTルール*の例。
緊急/ 11 - ICSの誤検知を減らすには?
Nozomi Networks Labs チームは、Threat Intelligence のために非常に効果的なルールを作成することに全力を注いでいる。そのため、外部ソースから証明されていないルールを取り入れるのではなく、重要な脆弱性について独自に調査を行うことが非常に重要だと感じています。
(以下の調査はVxWorks RTOSのみで行われたものであり、他のRTOSが影響を受けるかどうかについては情報がないことに注意してください)。
私たちは特に、公表されているSNORTルール*を評価し、ネットワーク防御担当者が独自のIDSで使用するには適しているが、異種ネットワークにおける精度には改善の余地があると感じた。
サインの例をいくつか考えてみよう:
alert tcp any any -> any any (flags:U+; msg: "OS-VXWORKS - Urgentフラグの使用は、Urgent11 RCE脆弱性を悪用する潜在的な試みを示す可能性があります"; classstype:attempted-admin; reference:cve,2019-12255; reference:cve,2019-12260; reference:cve,2019-12261; reference:cve,2019-12263; reference:url,armis.com/urgent11; rev: 1; sid:1000002)
テクニカル・ホワイト・ペーパー*に記述されているように、最も重大な4つの脆弱性の最初の共通指標は、Urgent PointerメカニズムをトリガーするためのTCPのUrgent Flagの悪用である。
- CVE-2019-12255
- CVE-2019-12260
- CVE-2019-12261
- CVE-2019-12263
以下はRFC6093からの引用である:
TCPは「緊急メカニズム」を実装している:
- 送信側ユーザーが、受信側ユーザーに "緊急データ "を受け入れるよう促す。
- そのため、受信側のTCPは、現在わかっている「緊急データ」がすべて読み込まれた時点で、受信側のユーザーにそれを示すことができる。
RFC6093から、このアプローチは、即座の応答が必要なアプリケーション(例: Telnet)と通信するときに使用されると仮定できる。最新のネットワークの進化に基づき、RFC 6093自体でも、このメカニズムはもはや推奨されていない。しかし、OT インフラストラクチャは、多くのレガシーデバイスやシステムが一緒に動作している可能性が高いことを念頭に置く必要があります。したがって、産業用ネットワークでは、多くの「緊急データ」メッセージが送信されている可能性が高い。
Nozomi Networks は産業インフラに焦点を当てているため、多くの誤検知を引き起こす可能性のあるシグネチャは実装しないことにした。元の研究チームはホワイトペーパーでこの問題を指摘している:
正規のTCPコネクションがUrgent Pointerを使用する場合(RLOGINコネクションや特定のTELNETクライアントなど)、稀に上記のルールが誤検出を引き起こすことがある。
偽陽性に関する声明。
次に、TCPヘッダーのLSRRオプションの悪意のある使用を検出するために使用されるシグネチャを調べた:
alert ip any any -> any any (ipopts: lsrr; msg: "OS-VXWORKS Use of LSRR option, potential attempt to exploit an Urgent11 RCE vulnerability"; reference:cve,2019-12256; classtype:attempted-admin; reference:url,armis.com/urgent11; rev: 1; sid:1000003)
Loose Source and Record Route (LSRR)オプションはほとんど使われない。その主な機能は、パケットが宛先ホストに到達するために通過しなければならない中間システムの数を、発信元システムが指定できるようにすることである。さらに、パケットがたどったルートはオプションに記録される。受信ホスト(エンドシステム)は、受信したLSRRオプションに含まれる経路の逆を使わなければならない。
RFC 7126から理解できるように、このオプションはよく知られたセキュリティ上の 意味合いを持つ。このオプションは次のような用途に使われる:
- ファイアウォールルールを回避する
- 他の方法ではアクセスできないインターネット・システムにアクセスする
- ステルス的にTCPコネクションを確立する
- ネットワークのトポロジーについて学ぶ
- 帯域幅枯渇攻撃の実行
しかし同時に、ネットワークのトラブルシューティングを行う場合など、このオプションの使用が必要な状況もある。
そのため、適切なサニティ・チェックなしにURGENT/11を検出すると、多数の誤検出を引き起こす可能性がある。私たちは、産業界のオペレータが不必要な偽陽性の調査によって貴重な時間と集中力を失うことを望んでいません。そのため、私たちはThreat Intelligence 、産業ネットワークの偽陽性を最小限に抑える新しいシグネチャを開発しました。
URGENT/11 - ICSにおけるエクスプロイトを検出する良い方法とは?
Nozomi Networks ラボは、Threat Intelligence に新たなシグネチャを追加し、検出エンジンを改善することで、この種の攻撃シナリオを効果的に検出できるよう常に取り組んでいる。
当社の管理された脆弱性データベースは、脆弱性のある資産を特定し、パッチ管理活動をサポートします。また、エクスプロイトの試みをリアルタイムで正確に検知するための、正確で高性能なシグネチャも提供しています。
最初の分析では、VxWorks関連サービスを公開しているデバイスに注目しました。Shodan や類似の検索エンジン(FoFa pro や ZoomEye など)で検索し、多くのデバイスがこのタイプの RTOS を実行していることを発見しました。
この種のオペレーティングシステムは、さまざまな分野(産業、航空、医療など)で広く使用されていることから、Nmapはネットワーク・マッピングに使用される有名なポート・スキャン・ツールであり、ネットワーク評価を実施しながら可能な限り多くの情報を収集します。そのスクリプト・エンジンにより、ネットワーク内の潜在的に脆弱な資産を探すために機能を拡張することができます。そして、検出された脆弱性に基づいて、関連するCVEを特定する。
以下はその結果の一例である:
しかし、Nmap NSEスクリプトのアプローチで潜在的な脆弱性デバイスを特定できたとしても、デバイスが実行しているVxWorksのバージョンや、一部のOT デバイスについては、OS自体を検出するのは容易ではないことは承知しています。
私たちは、Nmap NSE スクリプトをGitHub で ICS とセキュリティ研究のコミュニティと共有している。このスクリプトは、URGENT/11の脆弱性を検出するために使用することができますが、調査ツールとして、また、システムをチェックするための迅速な方法として意図されています。包括的で定期的に更新され、ICSの他の動作と相関するICSthreat intelligence については、当社のGuardian やThreat Intelligence ソリューションなど、フル機能のセキュリティ製品をお勧めします。
例えば、私たちのソリューションを使用すると、URGENT/11脆弱性に関連するいくつかの事前条件を検出することができます。また、Guardianのディープ・パケット・インスペクション分析とリアルタイム・プロセス分析エンジンのおかげで、不正なTCP/IPパケットが検出された場合にのみアラートを発することができます。
URGENT/ 11 -Nozomi Networks Labs からの新しい ICS 脅威シグネチャー
産業運営の安全性、セキュリティ、および信頼性に関与する人々は、URGENT/11 のリスクにさらされていないか、自社のネットワークを評価する必要がある。URGENT/11の脆弱性の一つを悪用した攻撃により、脅威者はユーザーの操作なしにデバイスを乗っ取ることができる。この攻撃は非常に急速に広がる可能性があり、業務に大きな混乱をもたらす可能性がある。
Nozomi Networks をご利用のお客様 Guardianをご利用のお客様は Threat Intelligenceをご利用のお客様は、当社の脅威シグネチャを自動的に受信します。また、侵害の兆候が確認された場合にも警告が発せられます。脅威シグネチャの初期バッチが配信され、さらに今月リリースに向けて開発中です。
Threat Intelligence 、組織がダイナミックな脅威の情勢を把握するためにどのようなサポートをしているか、詳細をお知りになりたい場合は、当社までご連絡ください。
