シリアル・IP変換デバイスは、運用技術(OT)、ヘルスケア、および他の種類のシステムをリモート攻撃に晒す可能性のある深刻な脆弱性に影響される可能性があります。
シリアル・IP変換デバイス(シリアルデバイスサーバーとしても知られている)は、レガシーシリアル機器を最新のイーサネット/IPネットワークに接続し、古い産業制御システム(ICS)および他のOTデバイスがリモートで通信できるようにするハードウェアデバイスです。
ネットワークセキュリティおよび脅威検出企業Forescout Technologiesの研究者は、これらのデバイスを分析し、脅威アクターにとって価値のある多くの脆弱性を発見しました。
シリアル・IP変換デバイスは、産業、通信、小売、ヘルスケア、エネルギー・ユーティリティ、および輸送などの分野で使用されています。デバイスは、Moxa、Digi、Advantech、Perle、Lantronix、およびSilexを含む複数の大手企業によって製造されています。
これらのベンダーの中には、数百万台のデバイスを配備したと報告しているものもあり、Shodanの検索では、世界中でほぼ20,000のインターネット公開システムが表示されています。
「オープンソースインテリジェンス(OSINT)を使用して、攻撃者はこれらのデバイスについての詳細を見つけることができます。これには、内部IPアドレス、モデルおよびベンダー名、ならびに変電所、水処理プラント、およびその他の重要インフラストラクチャ環境からの写真が含まれます」とForescout研究者は説明しました。
インターネット公開デバイスに加えて、攻撃者はローカルネットワーク上のシリアル・IP変換デバイスをターゲットにすることができます。これは、ルーターやファイアウォールなどのエッジデバイスの脆弱性または設定ミスを介して侵害される可能性があります。
SilexおよびLantronixデバイスに焦点を当てたForescoutの研究は、2つのベンダーの製品全体で20の新しい脆弱性を発見しました。これには、認証なしで悪用できる弱点が含まれています。
BRIDGE:BREAKとして総称される脆弱性は、OSコマンドインジェクションおよびリモートコード実行、ファームウェア改ざん、サービス拒否(DoS)攻撃、およびデバイス乗っ取りのために悪用される可能性があります。
脆弱性の中には、攻撃者が任意のファイルをアップロードし、認証をバイパスし、情報を取得することを許可するものがあります。
Forescout研究者は、実際の環境でこれらの脆弱性の潜在的な影響を実証しました。彼らは、攻撃者がデータを改ざんするために欠陥を悪用する方法を実証しました。たとえば、産業およびヘルスケア環境でセンサーの読み取り値を操作して、通常は人間の介入が必要な危険な状態を隠蔽することができます。
別のシナリオでは、研究者は恐喝グループまたは国家支援の脅威アクターがデバイスに悪質なファームウェアを配信してヘルスケア環境でDoS状態を引き起こす方法を説明しました。
「起動されると、武装したファームウェアはシリアル・IP変換デバイスがネットワーク上で応答しなくなる可能性があります。潜在的な影響には:分析装置が検査情報システムに結果を報告できなくなり、処理バックログが作成される。外科手術照明コントローラーがリモートコマンドに応答しなくなります。注入ポンプの較正および認定ワークフローが停止されます。環境センサーからのテレメトリーが中断されます。患者モニターがネットワーク接続を失う」と研究者は説明しました。
LantronixおよびSilexの両方が通知されており、パッチをリリースしています。サイバーセキュリティ機関CISAは最近、Lantronix脆弱性について説明している公開を発表しました。Silexは自社のウェブサイトで公開を発表しています。
組織がシリアル・IP変換デバイスの使用がもたらすリスクを無視しないことが重要です。これらのデバイスは実際に標的にされています。ロシアのハッカーによる2015年ウクライナエネルギー攻撃や、より最近には、ポーランドのエネルギー施設を標的にした攻撃で標的にされました。
Forescoutは4月21日火曜日にBRIDGE:BREAK脆弱性を詳述するレポートを公開します。
