サイバーセキュリティ企業のForescoutは、レガシー産業用機器を最新ネットワークに接続するために一般的に使用されるシリアル-IP変換デバイスで、これまで知られていなかった22の脆弱性を特定しました。同社は、現在数千のこれらのシステムがオンラインで公開されており、重要インフラ部門全体でサイバー攻撃のリスクが増加する可能性があることを警告しています。
これらの知見は、BRIDGE:BREAKという新しい研究イニシアチブの一部であり、Lantronixおよびsilexが製造するハードウェアに焦点を当てています。これらのデバイスは、公共事業、製造業、ヘルスケア、通信などの産業で広く配置されており、古いシステムを新しいデジタルインフラストラクチャと統合することで運用を維持する上で重要な役割を果たしています。
深刻なリスク:運用の中断、データ改ざん、デバイス乗っ取り
レポートによると、これらの脆弱性により、攻撃者は運用を中断し、ネットワーク全体に横展開し、機密データを改ざん、または影響を受けたデバイスを完全に制御することが可能になる可能性があります。特定された脆弱性には、リモートコード実行、認証バイパス、ファームウェア操作、サービス拒否、機密情報の露出の可能性が含まれます。
Forescout研究チームはまた、数万のこれらのデバイスがインターネット経由でアクセス可能であることを発見しました。露出しているだけでは、デバイスが新たに特定された欠陥に脆弱であることを意味しませんが、攻撃面を大幅に拡大し、脅威アクターがそれらを特定してターゲットにするのが容易になります。
AI駆動の環境における人間の専門知識の重要性
Forescout研究副社長のDaniel dos Santosは、これらの知見は組織が運用テクノロジー環境をどのようにセキュアするかに関する継続的なギャップを浮き彫りにしていると述べました。
「シリアル-IP変換デバイスはオペレーターと物理プロセスの間に直接置かれていますが、従来のセキュリティ監視では見落とされることがよくあります」とdos Santosは述べています。「人工知能の進歩は脆弱性が発見される速度を加速しますが、どのリスクが本当に重要かを理解するには、実際の環境におけるデバイスの動作と通信方法についての人間の洞察が必要です。」
公開情報が攻撃者を支援
この研究はまた、攻撃者が技術文書や画像などの公開情報を利用して、特定のデバイスモデルと配置環境を特定できることを強調しています。このようなインテリジェンスは、敵がターゲットの優先順位を付けて攻撃戦略を改善するのに役立つ可能性があります。
さらに、複数のベンダーのファームウェア分析により、廃止されたソフトウェアコンポーネント、既知の脆弱性、およびセキュリティ保護の一貫性の欠如が明らかになりました。これらの要因により、悪用が容易になり、攻撃が成功する可能性が増加する可能性があります。
重要インフラへの実世界への影響
Forescoutは、脆弱性が悪用された場合の潜在的な結果をいくつか概説しました。これらには、システム間の通信への干渉による運用中断、ネットワーク内で移動して他の重要資産にアクセスする能力、およびセンサーデータの操作が含まれます。テストシナリオでは、研究者は改ざんされたデータがいかに監視システムで虚偽の読み取り値を生成し、潜在的に不正な決定または危険な状態につながる可能性があるかを実証しました。
リスク低減の推奨手順
同社は、リスクを低減するために直ちに対策を講じるよう組織に促しています。推奨される手順には、ベンダーパッチが利用可能になると同時に適用すること、デフォルト認証情報の削除、強力な認証の強制、およびデバイスがインターネットに直接公開されていないことを確認することが含まれます。ネットワークセグメンテーションや内部トラフィックの異常なアクティビティの監視などの追加の措置も、潜在的な攻撃の影響を制限するのに役立ちます。
産業が最新ネットワークに統合されたレガシー機器に依存し続ける中、このレポートは、2つの間に橋渡しするデバイスをセキュアすることの重要性を強調しています。
Forescoutの知見は、これらの見落とされることが多いコンポーネントが、適切に管理されない場合、攻撃者にとって重要なエントリーポイントになる可能性があることを示唆しています。
完全なBRIDGE:BREAKレポートはこちらでダウンロードできます。
