自動車、エネルギー、製造などの産業分野で広く利用されている監視制御・データ収集(SCADA)システムである三菱電機 Iconics Suiteに影響する脆弱性が確認されました。
CVE-2025-0921として追跡されているこの欠陥は、CVSSスコア6.5(中程度)で、攻撃者が影響を受けるシステムでサービス拒否(DoS)状態を引き起こし、運用上の可用性を損なう可能性があります。
脆弱性の概要
| CVE識別子 | 脆弱性の説明 | CVSSスコア |
|---|---|---|
| CVE-2025-0921 | Mitsubishi Electric Iconics Digital Solutions GENESIS64の複数サービスにおける不要な権限での実行の脆弱性 | 6.5 – 中 |
Paloalto Networkによると、この脆弱性はIconics SuiteのAlarmWorX64 MMX Pager Agentコンポーネント内で行われる特権的なファイルシステム操作に起因します。
悪用されると、ローカルの非管理者権限を持つ攻撃者が重要なシステムバイナリを改ざんでき、システム破損を引き起こして産業用制御システムを使用不能にする可能性があります。
さらに見る
悪用
ペネトレーションテストツール
安全な通信アプリ
この欠陥は、Iconics SuiteのMicrosoft Windows版10.97.2以前に影響します。
CVE-2025-0921では、IcoSetup64.iniファイルに保存されているSMSLogFile設定パスを操作することで、特権的なファイルシステム操作を悪用できてしまいます。
攻撃者は、ログ記録処理をcng.sysなどの重要なWindowsドライバーへリダイレクトするシンボリックリンクを作成できます。cng.sysは、システムのブートプロセスに不可欠な暗号化サービスを提供します。
この悪用は、GenBroker32インストーラーに存在する別の脆弱性CVE-2024-7587と組み合わせると、特に効果的になります。CVE-2024-7587はC:\ProgramData\ICONICSディレクトリに過剰なファイル権限を付与します。
この権限設定の不備により、本来は管理者に制限されるべき設定ファイルを、任意のローカルユーザーが変更できてしまいます。
攻撃手法
概念実証(PoC)デモでは、非特権アクセスを持つ攻撃者がSMSのログ記録処理をリダイレクトし、cng.sysドライバーを上書きできることが示されました。
設定されたSMSLogFileパスからC:\Windows\System32\cng.sysへのシンボリックリンクを作成することで、その後のSMSアラート処理により、正しいバイナリコードではなくログデータでドライバーファイルが破損します。
システム再起動時、Windowsは破損したドライバーの読み込みを試みるため、ブート失敗と無限の修復ループが発生します。
さらに見る
セキュリティツール
サイバー攻撃の防止
サイバーセキュリティニュースの購読
これにより、重要な運用技術(OT)のエンジニアリング用ワークステーションで持続的なDoS状態が発生し、産業監視および制御の運用が妨げられる可能性があります。
三菱電機は、CVE-2025-0921の是正措置を詳細に記したセキュリティアドバイザリを公開しました。
システム管理者は、Iconics Suiteの評価で特定されたすべての脆弱性に対処する推奨回避策を直ちに適用すべきです。
Iconics Suiteの10.97.2以前を運用している産業組織は、パッチ適用を優先し、潜在的なサービス中断を防ぐためにベンダー推奨のセキュリティ対策を実装する必要があります。
この脆弱性は、可用性が最重要となる産業用制御システム環境において、適切なアクセス制御と権限管理が極めて重要であることを浮き彫りにしています。
翻訳元: https://gbhackers.com/scada-flaw-enables-dos-condition/
