台湾のNovakon社が製造する一部の産業用制御システム(ICS)製品に深刻な脆弱性が存在しており、ベンダーはパッチをリリースしていないようです。
NovakonはiBASE Technologyの子会社であり、ヒューマンマシンインターフェース(HMI)、産業用PC、IIoTソリューションの設計・製造を行っています。同社は北米、ヨーロッパ、アジアの18カ国で事業を展開しています。マーケティング資料によると、Novakonの7インチHMIは世界中のデータセンターで40,000台が導入されています。
IT/OTペネトレーションテストおよびセキュリティコンサルティング会社であるCyberDanubeの研究者が、NovakonのHMIに5種類の脆弱性が存在することを発見しました。
CyberDanubeが公開したアドバイザリによると、これらのHMIには、認証不要でリモートからroot権限でコード実行が可能となるバッファオーバーフロー、ファイルを露出させるディレクトリトラバーサル、デバイスやアプリケーションへのアクセスを許す認証の弱点が複数存在します。
また、セキュリティ企業の研究者は、保護機構の欠如や、特定のプロセスに対する不必要に高い権限の設定も発見しました。
CyberDanubeのセキュリティ研究者であるSebastian Dietz氏は、SecurityWeekに対し、これらの脆弱性は認証なしでリモートから悪用可能であると語りました。
「認証されていない攻撃者が、これらの脆弱性を利用してこれらのデバイス上で高い権限のコードを実行できる可能性があります」とDietz氏は説明しています。「HMIデバイスは、重要インフラの機械やシステム(例:PLCや生産ライン)とやり取りするために使用されているため、任意のコード実行が可能になると深刻な影響を及ぼす可能性があります。」
Dietz氏は、「これらのデバイスは通常、重要インフラに導入されており(望ましくは)インターネットに直接公開されていないため、攻撃に対してどれだけのデバイスが脆弱かを判断するのは難しい」と述べています。
広告。スクロールして続きを読む。
CyberDanubeによると、Novakonには調査結果を記載したレポートが送付されましたが、ベンダーからのフィードバックはなく、ほとんどの連絡が無視されたとのことです。
NovakonはSecurityWeekからのコメント要請にも応じていません。
翻訳元: https://www.securityweek.com/unpatched-vulnerabilities-expose-novakon-hmis-to-remote-hacking/