サイバーセキュリティ機関CISAは、最近ハッカーによって産業用制御システム(ICS)と見なされたものを改ざんするために悪用された、古い「OpenPLC ScadaBR」の脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。
OpenPLCは、低コストの産業オートメーションソリューションを提供するために設計されたオープンソースのプログラマブルロジックコントローラ(PLC)です。ScadaBRは、OpenPLCを含むさまざまなPLCへの接続をサポートするヒューマンマシンインターフェース(HMI)を提供するオープンソースソリューションです。
ScadaBRの脆弱性は、CVE-2021-26829として追跡され、「中程度の深刻度」と分類されていますが、2021年6月に修正されました。この脆弱性はクロスサイトスクリプティング(XSS)バグとして説明されており、任意のコード実行に悪用される可能性があります。
CISAは金曜日にCVE-2021-26829をKEVカタログに追加し、政府機関に対して12月19日までに対処するよう指示しました。
セキュリティ企業Forescoutは10月、TwoNetという親ロシア系のハクティビストグループが、水処理プラントを模倣するために設置された同社のICS/OTハニーポットの1つを攻撃したと報告しました。
ハッカーは関連するHMIを改ざんし、プロセスを妨害し、他のICSを操作した後、その「成果」をTelegramチャンネルで自慢しました。
Forescoutによると、TwoNetはCVE-2021-26829を悪用してHMIのログインページの説明を「Hacked by Barlati」に変更し、このメッセージはユーザーがページを訪れるたびにポップアップウィンドウで表示されるようになっていました。
HMIは偽物だったため、この攻撃は現実世界への影響はありませんでしたが、この事件はハッカーが攻撃でCVE-2021-26829を標的にしている可能性を示しました。
2021年に公開された動画では、攻撃者が「システム設定」ページの特定のフィールドにHTML/JavaScriptコードを追加することで、HMIページが訪問されるたびに任意のメッセージを表示させるためにCVE-2021-26829を悪用するのがいかに簡単かが示されています。
同じ動画では、XSS脆弱性がセッションハイジャックにも悪用できることが示されていましたが、TwoNetは単純な改ざんのみに利用しており、ハッカーが高度なハッキングスキルを持っていないことを示しています。
これは驚くことではありません。ハクティビストやハクティビズムを装った国家支援の脅威グループは、しばしば水分野のICS/OTを標的にします。OTへの攻撃は、潜在的な影響が大きく、デフォルトやハードコードされた認証情報など、簡単に悪用できる脆弱性を利用することで目的を達成できるため、ハクティビストに好まれます。
CVE-2021-26829の野外での悪用を説明する他の報告はないようです。この脆弱性が他の脅威アクターによって悪用されたかどうかは不明です。
しかし、ハクティビストのような騒がしい領域の外で活動する高度な脅威アクターは、このような脆弱性を、発見されないか、被害者とインシデント対応会社の間で機密にされる高度に標的化された攻撃で悪用する可能性が高いでしょう。
翻訳元: https://www.securityweek.com/cisa-warns-of-scadabr-vulnerability-after-hacktivist-ics-attack/
