Iconics Suite SCADAプラットフォームの脆弱性により、攻撃者が重要なWindowsバイナリを破損させて産業用制御システムを妨害できる可能性があります。
この欠陥により、特権を持つファイルシステム操作が悪用され、影響を受けたシステムが起動不能になるおそれがあります。
脆弱性の悪用に成功すると「…影響を受けたシステムでサービス拒否(DoS)状態を引き起こす可能性がある」と、Palo Alto NetworksのUnit42研究者は述べています。
Iconics SCADAにおける特権悪用の内側
Iconics Suiteは、エネルギー、製造、自動車の各環境で広く導入されており、そこでは稼働率と運用継続性が、従来のセキュリティ制御と同じくらい重要であることが少なくありません。
CVE-2025-0921のCVSSスコアは6.5ですが、運用技術(OT)環境における実際の影響は、スコアだけが示す以上に重大です。
悪用に成功すると、エンジニアリング・ワークステーションや制御ホストが妨害され、アラームの遅延、監視の中断、または生産ワークフローの停止につながるサービス拒否状態を引き起こす可能性があります。
技術的には、CVE-2025-0921は、Iconics Suite内のサービスが不要な特権でファイルシステム操作を実行していることに起因します。
この脆弱性は、AlarmWorX64 MMXアラーム管理サブシステムのコンポーネントであるPager Agentに存在します。
AlarmWorX64 MMXは、産業プロセスが定義されたしきい値を超えた際にアラートを生成する役割を担っており、日々の運用における重要な要素です。
Pager Agentの動作はPagerCfg.exeユーティリティで設定され、管理者はSMS、GSM、TAPなどのプロトコルを介してアラートをどのように配信するかを定義できます。
この設定の一部として、管理者はアラート活動が書き込まれるSMSログファイルのパスを指定できます。
そのパスは、C:\ProgramData\ICONICS配下にあるIcoSetup64.ini設定ファイルに保存されます。
適切に保護されたシステムでは、このディレクトリと設定ファイルは、非特権ユーザーによる改変から保護されているべきです。
しかし、以前に開示された脆弱性(CVE-2024-7587)により、レガシーのGenBroker32コンポーネントのインストール時に過剰な権限が付与されていました。
この問題が存在すると、ローカルの任意のユーザーがC:\ProgramData\ICONICSディレクトリ内のファイル(Pager Agentの設定を含む)を変更できるようになります。
これらの条件を連鎖させることで、管理者権限のない攻撃者がSMSログファイルのパスを機微なシステム位置に向けて変更できます。
シンボリックリンクを用いることで、攻撃者はPager Agentのログ出力を、Microsoft Cryptography APIで使用されるドライバーcng.sysのようなWindowsバイナリへリダイレクトできます。Pager Agentがログデータを書き込むと、意図せずドライバーファイルを上書きしてしまいます。
その後システムを再起動すると、Windowsは破損したドライバーの読み込みを試みて失敗し、マシンは回復モードで停止して事実上オフラインになります。
OT環境では、これによりエンジニアリング・ワークステーションが使用不能となり、システムが再構築されるまで運用の可視性や対応が妨げられる可能性があります。
研究者はまた、CVE-2024-7587がなくても、誤設定、別の脆弱性、またはローカルアクセスの悪用によってファイル権限が弱められている場合、同様の悪用が起こり得ると指摘しました。
特権OT脆弱性に対する緩和策
この脆弱性は重要なOTシステムの完全性と可用性の両方に影響し得るため、緩和は単一の修正にとどまらないことに重点を置くべきです。
組織には、ベンダーのガイダンスに加え、より厳格なアクセス制御、監視の改善、産業環境に合わせた運用上の安全策を組み合わせた多層的な対応が必要です。
ダウンタイムが直ちに安全や生産へ影響し得るOTの現場では、根本原因の欠陥を塞ぐことと同じくらい、影響範囲(ブラスト半径)を小さくすることが重要です。
- ベンダー推奨の回避策を適用するか、修正済みのIconicsリリースへアップグレードして、CVE-2025-0921および関連する脆弱性に対処する。
- SCADA設定ディレクトリのファイルシステム権限を見直して制限し、信頼できる管理者のみが書き込みアクセスを持つようにする。
- GenBroker32などのレガシーコンポーネントを監査し、運用上不要であれば削除または無効化する。
- SCADAサービスの実行に最小権限を徹底し、OTエンジニアリング・ワークステーションへの対話的アクセスを制限する。
- 監視して、不正な設定変更、シンボリックリンクの作成、システムまたはドライバーディレクトリへの予期しないファイル書き込みを検知する。
- OTエンジニアリング・システムを企業ネットワークからセグメント化し、ラテラルムーブメントを低減して、潜在的なサービス拒否の影響を封じ込める。
- バックアップを検証し、インシデント対応と復旧計画をOT環境向けに定期的にテストする(ワークステーションの再構築やシステム復元のシナリオを含む)。
これらの手順は、影響を受けるIconics導入環境の堅牢化に役立つとともに、同様のファイルシステム悪用シナリオに対するレジリエンスを高めます。
OTの可用性はパッチ適用だけでは確保できない
総じて、この問題は、OTソフトウェアにおける設定や権限のギャップが、特権ファイルシステムアクセスの悪用によって意味のある運用上の結果をもたらし得ることを示しています。
Iconics SuiteのようなSCADAプラットフォームを運用する組織にとって、可用性の維持には、特にレガシーコンポーネントや高特権サービスが使用されている場合、完全性や機密性に適用するのと同じ規律あるアプローチが必要です。
したがって、CVE-2025-0921への対応は、修正(リメディエーション)だけにとどまらず、より厳格なアクセス制御、監視の改善、そして障害や悪用が発生した際にも信頼性の高い運用を支えるための、検証済みの復旧手順を含めるべきです。
暗黙の信頼を制限し、アクセスを継続的に検証するという同じ重視点があるからこそ、ゼロトラストモデルがOT環境にも適用されています。
翻訳元: https://www.esecurityplanet.com/threats/iconics-scada-vulnerability-can-render-systems-unbootable/
