Microsoftのサイバーセキュリティチームは、産業現場で広く使用されているヒューマン・マシン・インターフェース(HMI)の一種であるRockwell AutomationのPanelView Plusに、2つの重大な脆弱性を発見しました。
これらの脆弱性はCVE-2023-2071およびCVE-2023-29464として特定されており、認証されていない攻撃者がリモートから悪用して、それぞれリモートコード実行(RCE)およびサービス拒否(DoS)を引き起こす可能性があります。
RCEの脆弱性は、PanelView Plus内の2つのカスタムクラスに起因し、これらを操作することで悪意のあるDLLをアップロードして読み込ませ、攻撃者がデバイス上で任意のコードを実行できるようになります。一方、DoSの脆弱性は同じカスタムクラスを悪用し、デバイスが処理できないよう細工されたバッファを送信してクラッシュさせます。
火曜日に公開されたアドバイザリでMicrosoftは、これらのデバイスを運用プロセスに利用している組織にとって、当該脆弱性が重大なリスクとなり得ると述べました。これは、権限のないリモート制御や重要な運用の妨害につながる可能性があるためです。
産業オートメーションにおけるサイバー脅威について詳しく読む:記録的なサイバー恐喝急増の中、製造業が最も標的にされた業界
技術的な解説によると、発見のプロセスは、MicrosoftのDefender for IoT研究チームが、Common Industrial Protocol(CIP)を用いて2台のデバイス間で行われる通信を観測したことから始まりました。
さらなる調査により、HMI、具体的にはPanelView Plus内にリモートのレジストリ照会機能が存在することが判明しました。これによりチームは、機密性の高いシステムキーにアクセスしたり、デバイスの制御を奪ったりするために悪用され得る潜在的な脆弱性について仮説を立てました。
Windows 10 IoT上で動作するPanelView Plusのファームウェアを分析したところ、研究者はさまざまなCIPクラスIDの処理を担う複数のDLLを特定しました。そのうちの1つのDLLが、悪意のあるDLLファイルをアップロードして実行するために悪用可能であることが分かり、リモート制御につながり得る脆弱性の仮説が裏付けられました。
Microsoftは、2023年5月および7月に、Coordinated Vulnerability Disclosure(CVD)プログラムを通じてこれらの発見をRockwell Automationに開示したと報じられています。これを受けてRockwellは、2023年9月および10月にセキュリティパッチとアドバイザリを公開しました。
Microsoftは、潜在的なリスクを軽減するため、PanelView Plusのすべてのユーザーに対し、これらのパッチを速やかに適用するよう強く呼びかけています。
Microsoftによる追加の推奨事項には、RockwellのFactoryTalk Viewの使用有無にかかわらず、PLC、ルーター、PCなどの重要デバイスをインターネットから切り離し、セグメント化することが含まれます。さらに、全体的なセキュリティプロトコルを強化するため、CIPデバイスへのアクセスを認可されたコンポーネントのみに限定することも推奨しています。
画像クレジット:Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-uncovers-flaws-rockwell/
