ボッシュ レックスロスのナットランナの脆弱性が悪用され,生産ラインの停止や安全上重要な締め付けの改ざんが行われる可能性

ボッシュ レックスロスのナットランナの脆弱性が悪用され,生産ラインの停止や安全上重要な締め付けの改ざんが行われる可能性

生産ラインが相互接続されたコンピューター・システムにますます依存するようになるにつれ,サイバー犯罪に悪用されるリスクが大きくなっている.

このブログでは,自動車の生産ラインで使用されている人気の高いスマートナットランナー(空気圧トルクレンチ)であるBosch Rexroth NXA015S-36V-Bに発見された新たな脆弱性について詳しく説明します.これらの脆弱性は,デバイスにランサムウェアを埋め込むことを可能にし,生産ラインの停止を引き起こし,資産所有者に大規模な金銭的損失を与える可能性があることを実証しています.また,この脆弱性を悪用することで,脅威者はオンボードディスプレイを操作しながら締め付けプログラムをハイジャックし,組み立て中の製品に検出不能なダメージを与えたり,安全な状態で使用できなくしたりすることが可能になります.NXA015S-36V-Bがセーフティ・クリティカルな作業用として認証されていることを考えると,攻撃者は,最適でない締め付けを誘導することで組み立てられた製品の安全性を損なったり,過剰な締め付けによって製品に損傷を与えたりする可能性があります.

重要な用途では,機械的締結具に適用される最終的なトルクレベルは,装置の全体的な設計と動作性能が満たされるように計算され,設計されます.一例として,配電盤で使用されるボルト,ナット,固定具は,高圧バスバーなどの電流を流す部品間の接続が低抵抗を維持するよう,適切なトルクを与える必要があります.接続部が緩んでいると,動作温度が高くなり,時間の経過とともに火災を引き起こす可能性がある.

これらの脆弱性は主に NEXO-OS オペレーティングシステムに存在し,まだパッチが適用されていないため,このブログでは技術的な詳細を明らかにしません.ボッシュ・レックスロスは,2024年1月末までにパッチをリリースすることを約束しています.それまでの間,この記事には,資産所有者がサイバー攻撃から保護するために実施できる緩和策をいくつか記載しています.Nozomi Networks をご利用のお客様には,これらの問題に関連する悪用の試みを特定するためにThreat Intelligence サービスが更新されています.

ボッシュ・レックスロスNXA015S-36V-BおよびNEXO-OS

NXA015S-36V-Bは,Bosch Rexroth NXAアングルヘッドファミリーのコードレス,ハンドヘルド空気式トルクレンチ(ナットランナー)です.ドイツ技術者協会(VDI)が制定し,1999年に自動車産業で採用されたVDI 2862のカテゴリーAに該当する,安全性が重視される締め付け作業用に特別に設計されています.

ナットランナーには,リアルタイムのデータと活動結果をオペレーターに提示するビジュアル・ディスプレイが装備されている.さらに,内蔵のWi-Fiモジュールを介してワイヤレスネットワークに接続する機能も備えています.この構成では,さまざまなサポートされたプロトコルを使用してデータを指定のヒストリアンサーバーに送信することができ,NEXO-OSオペレーティングシステムによって提供される管理サービスを使用してデバイスをリモートで再プログラムすることができます.

NEXO-OSは,ナットランナーを駆動するLinuxベースのオペレーティングシステムとして機能します.NEXO-OSは,公開された管理ウェブアプリケーションを通じて,締め付けシステムの設定,プロセス指定による締め付けプログラムの生成,締め付けケースの分析と診断など,さまざまなアプリケーションの選択肢を提供します.また,Rexroth OpenProtocol,VW-XML,BMW-TPCなどの幅広い通信プロトコルをサポートしているため,ナットランナーはSCADAシステム,PLC,その他の生産装置とシームレスに統合できます.

Nozomi Networks Labs によって特定された脆弱性の大部分は,管理ウェブ・アプリケーションに影響を及ぼしていましたが,いくつか は言及されたプロトコルを解析するサービスに見られました.次のセクションでは,これらの欠陥が悪用された場合に生じる可能性のある主な影響について概説します.脆弱性の全リストはその直後にあります.

図1.NEXO-OSの管理ウェブアプリケーション.

これらの脆弱性の影響

Bosch Rexroth NXA015S-36V-B に見つかった脆弱性は,ターゲットデバイスにネットワークパケットを送信できる認証されていない攻撃者が,root 権限で任意のコードをリモートで実行 (RCE) することを可能にし,完全にデバイスを侵害します.このような不正アクセスが可能になると,多くの攻撃シナリオが可能になります.私たちのラボ環境では,以下の2つのシナリオの再構築に成功しました:

  • ランサムウェア:オンボード・ディスプレイを通じてローカル・オペレーターがドリルを制御できないようにし,トリガー・ボタンを無効にすることで,デバイスを完全に操作不能にすることができました.さらに,グラフィカル・ユーザー・インターフェース(GUI)を変更して,身代金の支払いを要求する任意のメッセージを画面に表示させることもできました.この攻撃は多数のデバイスで簡単に自動化できるため,攻撃者は生産ライン上のすべてのツールを迅速にアクセス不能にすることができ,最終的な資産所有者に大きな混乱をもたらす可能性があります.
図2.テスト用nutrunner上で動作するPoCランサムウェア.
  • 制御と表示の操作:目標トルク値を増減させるなど,締め付けプログラムの設定をこっそり変更することに成功した.同時に,オンボード・ディスプレイのGUIにインメモリ・パッチを適用することで,オペレータには正常な値を表示し,オペレータはその変更にまったく気づかないようにすることができた.
図3.視野攻撃の操作.この締め付けに実際にかかったトルクは0.15 Nmだった.

重要な装置の不適切な締め付けから生じる可能性のある安全衛生リスクはもちろんのこと,ビジネス上の損害の可能性は他の種類の損失にも及びます.

締めすぎた接続は,ボルトとナットに過剰な応力を与え,これもまた時間の経過とともに,ねじ山自体の破損や,材料の弾性限界を超えた変形によって,固定具の早期破損を引き起こします.固定具が伸びたり,ねじ山が破損したりすると,接続の完全性が損なわれ,再び接続が緩むことになります.このような種類の機械的な故障は,エンドユーザーや顧客に収益や生産性の損失をもたらすだけでなく,過剰な保証請求やビジネスへの風評被害をもたらす可能性が高く,長期にわたって大きな財務リスクや損失をもたらす可能性があります.

メーカーの用途や事業構成によっては,ナットランナーのような装置は,企業における品質管理・保証プログラムの重要な部分を形成し,場合によっては品質保証の最終ラインになることさえある.このような品質保証の最終ラインにおける完全性の危殆化は,発見が困難であり,長期にわたる製造品質の危殆化により,経済的に大きな影響を及ぼす可能性がある.

脆弱性リストと影響を受けるバージョン

次の表は,発見されたすべての脆弱性を CVSS v3.1 ベーススコア順に並べたものである.

CVE IDCWECVSS v3.1 ベーススコアCVSS v3.1 ベクトル
CVE-2023-48252不適切な認証 (CWE-285)8.8CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48253SQLコマンドで使用される特殊要素の不適切な中和('SQLインジェクション') (CWE-89)8.8CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48243制限付きディレクトリへのパス名の不適切な制限 (「パストラバーサル」) (CWE-22)8.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
CVE-2023-48250ハードコードされたクレデンシャルの使用 (CWE-798)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48251ハードコードされたクレデンシャルの使用 (CWE-798)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48262スタックベースのバッファオーバフロー (CWE-121)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48263ヒープベースのバッファオーバフロー (CWE-122)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48264スタックベースのバッファオーバフロー (CWE-121)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48265スタックベースのバッファオーバフロー (CWE-121)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48266スタックベースのバッファオーバフロー (CWE-121)8.1CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2023-48257脆弱な認証情報の使用 (CWE-1391)7.8CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE-2023-48242制限付きディレクトリへのパス名の不適切な制限 (「パストラバーサル」) (CWE-22)6.5CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48245認証の欠落 (CWE-862)6.5CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
CVE-2023-48246制限付きディレクトリへのパス名の不適切な制限 (「パストラバーサル」) (CWE-22)6.5CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48249制限付きディレクトリへのパス名の不適切な制限 (「パストラバーサル」) (CWE-22)6.5CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVE-2023-48255Web ページ生成時の入力の不適切な中和 ("クロスサイト・スクリプティング") (CWE-79)6.3CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48248Web ページ生成時の入力の不適切な中和 ("クロスサイト・スクリプティング") (CWE-79)5.5CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48258CSRF (クロスサイトリクエストフォージェリ) (CWE-352)5.5CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
CVE-2023-48244Web ページ生成時の入力の不適切な中和 ("クロスサイト・スクリプティング") (CWE-79)5.3CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48247認証の欠落 (CWE-862)5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48254Web ページ生成時の入力の不適切な中和 ("クロスサイト・スクリプティング") (CWE-79)5.3CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48256HTTP ヘッダにおける CRLF シーケンスの不適切な中和 ('HTTP リクエスト/レスポンス分割') (CWE-113)5.3CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
CVE-2023-48259SQLコマンドで使用される特殊要素の不適切な中和('SQLインジェクション') (CWE-89)5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48260SQLコマンドで使用される特殊要素の不適切な中和('SQLインジェクション') (CWE-89)5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE-2023-48261SQLコマンドで使用される特殊要素の不適切な中和('SQLインジェクション') (CWE-89)5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

すべての CVE は NEXO-OS の以下のバージョンに影響します:

  • <=     NEXO-OS V1500-SP2

すべての CVE は,以下の Bosch Rexroth 製品に影響します:

  • レックスロス ネクソ コードレスナットランナー NXA011S-36V (0608842011)
  • レックスロス ネクソ コードレスナットランナー NXA011S-36V-B (0608842012)
  • レックスロス ネクソ コードレスナットランナー NXA015S-36V (0608842001)
  • レックスロス ネクソ コードレスナットランナー NXA015S-36V-B (0608842006)
  • Rexroth Nexo コードレスナットランナ NXA030S-36V (0608842002)
  • レックスロス ネクソ コードレスナットランナー NXA030S-36V-B (0608842007)
  • Rexroth Nexo コードレスナットランナ NXA050S-36V (0608842003)
  • Rexroth Nexo コードレスナットランナ NXA050S-36V-B (0608842008)
  • レックスロス ネクソ コードレスナットランナー NXA065S-36V (0608842013)
  • レックスロス ネクソ コードレスナットランナー NXA065S-36V-B (0608842014)
  • レックスロス ネクソ コードレスナットランナー NXP012QD-36V (0608842005)
  • Rexroth Nexo コードレスナットランナ NXP012QD-36V-B (0608842010)
  • レックスロス ネクソ コードレスナットランナー NXV012T-36V (0608842015)
  • レックスロス ネクソ コードレスナットランナー NXV012T-36V-B (0608842016)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2272)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2301)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2514)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2515)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2666)
  • レックスロス ネクソスペシャル コードレスナットランナ (0608PE2673)

脆弱性スポットライト

攻撃者がデバイス上でルートレベルのコードを実行する可能性のある方法は多様である.例えば,常にネットワーク上に公開されているウェブ管理インタフェースを考えてみましょう.有効なアカウントがあれば,利用可能な最小限の権限であっても,ファイル・アップロードにおけるパス・トラバーサル(CVE-2023-48243)のような問題を悪用することで,目標を達成することができます.認証されていない攻撃者は,ハードコードされたアカウント(CVE-2023-48250)の悪用など,デバイスへの有効な認証アクセスを最初に得るために,他の問題の悪用とこれを連鎖させることで成功するかもしれません.この攻撃の連鎖を図 4 に示します.

図 4.生産ラインの停止につながる認証されていない攻撃チェーンの例.

さらに,他のシステムとの統合のための通信プロトコル(例えば,OpenProtocol)のいずれかが有効になっている場合,デバイスを悪用することは,識別されたバッファ・オーバーフロー脆弱性(CVE-2023-48265など)のうちの1つだけを悪用するのと同じくらい簡単になります.この攻撃を図 5 に示す.

図 5.コントロールとビューの操作につながる認証されていない攻撃の例.

今日,多種多様な脆弱性が日々発見されており,特にOT ,IoT 環境におけるほとんどの攻撃は,アクセスや不正な制御ができないためではなく,ハッカー自身が侵入するデバイスの使い方を知らないために,潜在的な被害全体には至らないといってもよい.それにもかかわらず,これらの脆弱性がもたらす潜在的な被害は,我々が実証したように,間違いなく壊滅的なものであるため,これらの脆弱性を常に意識し,積極的に予測することが極めて重要である.次のセクションでは,資産所有者がこれらの問題を軽減するために実施できる回避策をいくつか紹介します.

修復

ボッシュ・レックスロスは,2024 年 1 月末までに公式パッチを提供する予定です.その間に,サイバー攻撃から保護するために以下の緩和策を採用することをお勧めします:

  • いくつかの脆弱性は,0-click認証なしルートRCEであることを考えると,できるだけデバイスのネットワーク到達性を制限し,許可された人員と信頼されたコンピュータ/サーバーだけがデバイスと通信できるようにすることを推奨する;
  • 脆弱性の中には,認証されたユーザーのみが悪用できるものもあるため,デバイスにログインできるすべてのアカウントを確認し,不要なアカウントを削除することをお勧めします;
  • 最後に,いくつかの脆弱性は,認証されたユーザが管理ウェブアプリケーションにログインした状態でリンクをクリックしたり,悪意のあるウェブページを閲覧したりすることを要求します.これらに対抗するために,管理ウェブ・アプリケーションへのブラウジング・セッションが進行中に,信頼されていないリンクを開いたり,外部のウェブサイトを訪問したりする場合には,慎重になることをお勧めします.

Nozomi Networks お客様は,Threat Intelligence フィードの最新アップデートをダウンロードすることで,これらの脆弱性に対する悪用の試み,またはネットワーク内の脆弱なデバイスを検出することができます.

結論

ここでは2つの一般的な攻撃例を取り上げているが,これらの攻撃が単独で,あるいは組み合わせて適用された場合,組織やテクノロジーに与える潜在的な影響を評価することは,努力する価値がある.

悪意のあるハッカー集団は,脅威集団に暗号通貨で大金を支払わなければ,組立ラインを使用不能にするかもしれない.その結果,修復や対応コストを考慮する前に,数百万ドルの身代金が要求されるかもしれない.最後に,可用性と品質の混乱は,特に組織がダウンタイムに対する準備をしていなかったり,製品が長期間利用できなかったりした場合,風評被害をもたらす可能性がある.

長期に渡り,改ざんが放置されれば,製品の品質に影響を及ぼし,すでに市場に出回っている何千もの製品のリコールを余儀なくされるかもしれない.脅威の集団や個人が,製造工程に潜在的な欠陥があることを明らかにしながらも,あなたが代金を支払うまでその全容を明らかにしないまま,あなたに接触してくるかもしれません.潜在的に危険な事故から,製品操作の欠陥に起因する複雑な訴訟,ランサムウェアの可能性まで,その影響は広範囲に及びます.

幸いなことに,脆弱性は私たちのチームによって調査・開示されており,私たちはメーカーと協力してタイムリーな情報を提供し,一般ユーザーへのパッチ配信に協力しています.

Nozomi Networks ソリューションは,潜在的な攻撃を検出し,既存の脆弱性を可視化することにより,セキュリティギャップを解消します.また,Nozomi Labs チームは常に製品をテストし,新たな脆弱性を検出することにより,顧客やメーカーにセキュリティ環境における優位性を提供します.

見つかりませんでした.
見つかりませんでした.
見つかりませんでした.