出典: Ivan Kmit via Alamy Stock Photo
火災安全を監視するために広く使用されている運用技術(OT)および産業制御システム(ICS)における2つの重大な未修正のセキュリティ欠陥により、攻撃者が簡単に技術を乗っ取り、機能不全にすることができ、物理的なセキュリティリスクを引き起こす可能性があります。
これらの欠陥はCVE-2025-41438およびCVE-2025-46352として追跡されており、Consilium SafetyのCS5000 Fire Panelのすべてのバージョンに存在し、攻撃の複雑さが低い状態でリモートから悪用可能です。これは、連邦政府のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)が5月30日に発表したアドバイザリによると、技術に内在する設定を悪用して攻撃者がアクセスを得て悪意のある活動を行うことができるとされています。
“これらの脆弱性を成功裏に悪用すると、攻撃者が高レベルのアクセスを得てデバイスをリモート操作し、機能不全状態にする可能性があります”とアドバイザリは述べています。
Consiliumは、海洋、輸送、エネルギー、建築分野で85,000の火災およびガス検知システムを設置しており、その技術はOTおよびICSの火災安全を提供するために広く展開されています。同社のウェブサイトによれば、CS5000は特に商業施設、エネルギー、政府サービスおよび施設、医療および公衆衛生、輸送システムなどの重要な環境で火災安全および検知に使用されています。
関連記事:中国とのAI競争で、セキュリティを忘れないでください
火災安全の欠陥は未修正のまま
Pen Test PartnersのAndrew Tierneyが最初にこれらの欠陥を特定し、CISAに報告しました。Consiliumはこれを認識しており、修正しないことを選択しました。代わりに、同社はより安全な設計原則を組み込んだ新しい火災パネルのライン、または2024年7月1日以降に製造された製品への更新を推奨しています。
CVE-2025-41438は、攻撃者がデバイスを制御するために乗っ取ることができるパネル上のデフォルトアカウントが存在するために発生します。この欠陥は「不安全なデフォルトでのリソースの初期化、ハードコードされた資格情報の使用」と呼ばれ、CVSS v3.1およびCVSS v4の両方でそれぞれ9.8と9.3の評価を受けています。
“デバイスにSSHしてこれを変更することは可能ですが、観察されたすべてのインストールシステムで変更されていません”とCISAはアドバイザリで説明しています。”このアカウントはルートではありませんが、悪用された場合、デバイスの操作に深刻な影響を与える可能性のある高レベルの権限を持っています。”
関連記事:新しいボットネットがASUSルーターに持続的なバックドアを設置
一方、CVE-2025-46352は、VNCサーバー上で実行されるハードコードされたパスワードが存在し、VNCを実行するバイナリ内で文字列として表示されるために存在します。これもCVE-2025-41438と同じく、CVSS v3.1およびCVSS v4で重大な評価を受けています。このパスワードは変更できないため、知識を持つ者がリモートでパネルにアクセスできるとCISAは述べています。”このようなアクセスにより、攻撃者がパネルをリモート操作し、火災パネルを機能不全状態にし、重大な安全問題を引き起こす可能性があります。”
CVE-2025-41438、CVE-2025-46352の緩和策
専門家は、セキュリティ業界全体が一般的にOT/ICS環境で使用される技術に見られる欠陥を過小評価する傾向があると述べています。一方、攻撃者は依然として重要なインフラストラクチャを標的にし、重大な混乱や物理的破壊を引き起こす攻撃を行っています。特に、これらのシステムの安全性の重要な側面が妥協される場合です。今年初め、米国政府は中国支援の脅威アクターSalt Typhoonを一連の重要インフラストラクチャ侵害、および米国財務省に対する侵害で制裁しました。
これらの欠陥は修正されないため、CISAはCS5000 Fire Panelのユーザーに新しいシステムへのアップグレードを推奨し、専用の人員のための物理的セキュリティやアクセス制御制限などの補償対策を実施するようアドバイスしています。
関連記事:現代のための深層防御アプローチ
組織はまた、すべての制御システムデバイスおよび/またはシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにするなど、防御策を講じてリスクを最小限に抑えるべきです。
防御者はまた、制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離する必要があります。ただし、これらのシステムがリモートアクセスを必要とする場合には、VPNの最新バージョンを使用するなど、安全な方法を使用するべきですとCISAは述べています。