FBI およびサイバーセキュリティおよびインフラストラクチャセキュリティ庁が火曜日に発表した共同勧告では、イランとリンクされた脅威者が米国の重要インフラサイト(水、エネルギー、市民関連施設など)にあるインターネット対応デバイスを悪用したと警告しました。
ハッカーは Rockwell Automation/Allen-Bradley 製のプログラマブルロジックコントローラー(PLC)をターゲットにしており、プロジェクトファイルとの悪意のある相互作用を伴う攻撃を行っています。当局の勧告によると、これらの攻撃はヒューマンマシンインターフェイスと監視制御およびデータ取得ディスプレイの両方でのデータ操作につながったとのことです。
当局は攻撃の数や具体的な場所を特定していませんでしたが、当局の勧告によると、これらの事件は経済的損失と運用の中断をもたらしたと述べられています。
環境保護庁、エネルギー省、国家安全保障局および米国サイバーコマンドも当該勧告に参加し、多要素認証を有効化し、デバイスを公開インターネットから削除し、疑わしい活動についてログをチェックするとともに、Rockwell デバイスの物理モードスイッチを「実行」位置に配置するよう、セキュリティチームに促しました。
Rockwell Automation 認証バイパス脆弱性
このキャンペーンの中心は、Rockwell Automation の Logix コントローラーの認証バイパス脆弱性です。 Rockwell Automation は 3 月に Studio 5000 Logix Designer ソフトウェアのこの欠陥(CVE-2021-22681)に関する勧告を更新しました。これにより、暗号化キーを見つけることができ、非 Rockwell アプリケーションが Logix コントローラーと接続できるようになる可能性があります。
同社はまた勧告を発行し、顧客にデバイスをオープンインターネットから切断し、PLC 環境のセキュリティを強化するよう通知しました。Rockwell のガイダンスは月曜日の連邦勧告で特に引用されました。
同社の広報担当者は Cybersecurity Dive に対して、「製品とソリューションのセキュリティを真摯に受け止め、政府機関と密接に連携しています」と述べました。
Nozomi Networks のフィールド CISO である Markus Mueller は Cybersecurity Dive に対して、3,000 以上の Rockwell デバイスがパブリックインターネット上で見えたままであり、これは組織が公開されていることに気づいていないか、リスクを過小評価しているためだと述べました。
「これらの OT デバイスのパブリック公開は、やる気のある能力のある敵が悪用できる広大な攻撃面を生み出します。これは特に現在の紛争を考えると関連性があります」と Mueller 氏は述べました。
最近の攻撃は、2023 年から 2024 年のガザ戦争中のイランハッカーによるUnitronics PLC の悪用に似ています。以前のターゲティングはイスラム革命防衛隊にリンクされた CyberAv3ngers として追跡されている者に関連していました。
米国の数百の給水システムは、ハッキングにさらされるような弱いセキュリティ構成を持つことが判明し、数十の場合には給水ユーティリティが侵害されました。
イランとリンクされた脅威者は、2 月末の戦争勃発以来、イスラエル、ペルシャ湾地域および米国の多数の重要インフラターゲットをターゲットにしています。
米国の大手医療技術プロバイダーである Stryker は、ハッカーが同社の Microsoft Intune 環境を操作した後3 月に攻撃されました。この攻撃は同社の製造、注文、配送能力の一時的な混乱につながりました。
