リモート端末ユニット、PLC、POS システム、ベッドサイド患者モニターは、アダプターの広範な脆弱性により、リモートコード実行、認証回避、および情報開示の影響を受ける可能性があります。
産業、小売、医療環境でシリアルデバイスをTCP/IPネットワークに接続するために使用されるシリアル・イーサネット変換器は、脆弱性と古い時代遅れのオープンソースコンポーネントで満ちていると研究者は警告しています。これらの欠陥により、リモート端末ユニット、プログラマブルロジックコントローラー、売上時点情報管理システム、ベッドサイド患者モニターなどのミッション クリティカルな機器を完全にコントロールするなど、さまざまな攻撃シナリオが可能になります。
BRIDGE:BREAKという名称の新しい研究で、サイバーセキュリティ企業Forescoutの研究者たちがシリアル・IP変換器の5つの主要ベンダーのファームウェアを分析した結果、各ファームウェアイメージには平均80個のオープンソースソフトウェアコンポーネントが含まれており、その中に約2,500個の既知の脆弱性と89個の公開利用可能なエクスプロイトがあることがわかりました。詳しくはBRIDGE:BREAKをご参照ください。
さらに、研究者たちはLantronixとSilex Technology Americaの3つのデバイスで22個の新しい脆弱性を特定し、その影響はリモートコード実行から認証回避、情報開示、およびサービス拒否まで多岐にわたります。
Shodanのような検索エンジンは、ほぼ20,000個のインターネットに公開されたシリアル・イーサネット変換器を表示していますが、これらのデバイスは多くの業界で使用されているため、ネットワーク内に配置されているデバイスの数は数百万個である可能性があります。しかし、インターネットに直接接続されていない場合でも、攻撃者は様々な他の初期アクセスベクトルを通じて内部ネットワークに侵入した後、そのようなデバイスに到達することができます。
シリアルプロトコルは認証や暗号化がないことが多いため、「攻撃者はセンサーから受け取ったシリアルデータをIPネットワークに移動する際に改ざんすることができます」と研究者は述べています。「たとえば、温度、圧力、湿度、流量、患者の心拍数の読み取り値を任意の値に変更することができます。逆に、攻撃者はアクチュエーターに到達する前に、IPネットワークからシリアル側に移動するコマンドを変更することができます。たとえば、サーボモーターの速度または方向を変更することができます。」
シリアル・IP変換器は、過去に重要インフラに対する実際の攻撃の標的になっています。たとえば、ウクライナのいくつかの変電所での電力配分を妨害した2015年のサイバー攻撃では、攻撃者がファームウェア更新機能を介してMoxaシリアル・IP変換器に破損したファームウェアを読み込みました。
その後、わずか数ヶ月前の12月、ポーランドの風力発電所と太陽光発電所がロシアのハッカーに標的にされ、Moxa NPortシリアルデバイスサーバーの設定をリセットするサイバー攻撃がありました。デバイスはインターネットに直接公開されていませんでしたが、攻撃者はVPN集約装置を侵害した後、それらにアクセスしました。
脆弱なコンポーネントとファームウェアハードニングの欠如
Forescoutが分析したデバイスのファームウェアは、Linuxカーネルの古いバージョンおよび他の時代遅れのライブラリとユーザー空間バイナリを実行していました。さらに、観測されたLinuxカーネルブランチの半分は、サポート終了に達し、将来のアップデートが複雑になっています。
その結果、分析されたファームウェアイメージは平均2,000以上の既知の脆弱性を持っており、その大部分はLinuxカーネル自体に位置していました。欠陥の数が最も少ないファームウェアイメージでも、210個の脆弱性がありました。もちろん、すべての欠陥が同等ではありませんが、平均で68%は低または中程度の深刻度、29%は高い深刻度、3%は重大度の脆弱性でした。
使用されている古いカーネルバージョンのため、バイナリに対してOSレベルで適用されたエクスプロイト対策も非常に一貫性がありませんでした。ファームウェアイメージの23%のみがスタックカナリアを使用していました。これはスタックスマッシング攻撃を防ぐ機能です。44%はRELRO(Relocation Read-Only)を使用していました。これはグローバルオフセットテーブルをオーバーライドして実行をリダイレクトするのを防ぎます。67%はPIE(Position Independent Executable)を使用していました。これは復帰指向プログラミング(ROP)攻撃をはるかに困難にするメカニズムです。84%はNX(No-eXecute bit)を使用していました。これは特定のメモリスタックとヒープ領域を実行不可能としてマークし、ストレートなバッファオーバーフロー攻撃を防ぐ機能です。
新しいRCEおよび他の脆弱性
オープンソースコンポーネントからのすべての既知の脆弱性とは別に、Forescout研究者も手動でセキュリティ分析を実行し、2つのベンダーからの3つの特定デバイスのファームウェアで以前は未知の欠陥を特定しました:Lantronix EDS3000PSシリーズ、Lantronix EDS5000シリーズ、およびSilex SD330-AC。
Lantronix EDS5000のウェブベースの管理インターフェースは、入力サニタイゼーション不足により複数のページとフィールドに5つの欠陥があり、ルートとしてリモートコード実行につながる可能性がありました。Lantronix EDS3000PSは、1つのRCE、認証回避の問題、およびパスワード変更機能が古いパスワードを要求しないデバイス乗っ取り欠陥を持っていました。これにより、攻撃者は管理者アカウントのパスワードを変更できる可能性があります。
Lantronixの欠陥はすべてウェブインターフェースにありましたが、Silex SD-330ACで見つかった12の脆弱性の一部は、UDPパケットを介して悪用可能なさまざまなネットワークサービスにありました。合計で、研究者は3つの新しいRCE欠陥、認証回避、未認証の攻撃者がファームウェアバイナリをアップロードできる任意ファイルアップロード問題、2つのデバイス乗っ取りと権限昇格のバグ、2つの設定改ざん欠陥、および情報開示とサービス拒否につながる可能性がある他の問題を発見しました。
さらに、研究者たちはファームウェア署名キーが攻撃者によって取得可能である可能性があることを発見しました。これは彼らに悪意のあるファームウェアイメージを作成する能力を与える可能性があります。Silexはこの問題を改善する過程にあります。
対策
「これらのデバイスがレガシーシリアル機器をIPネットワークに接続するために次々と配置されている中、ベンダーとエンドユーザーはそのセキュリティへの影響を中核的な運用要件として扱うべきです」とForescout研究者は述べています。
LantronixとSilexはどちらも報告された欠陥に対処するためのファームウェア更新をリリースしました:SD-330ACファームウェアバージョン1.50、EDS5000シリーズバージョン2.2.0.0R1、およびEDS3000シリーズバージョン3.2.0.0R2。
パッチ適用に加えて、Forescoutは以下を推奨しています:
- デフォルト認証情報を置き換え、弱いパスワードを禁止して、認証済み脆弱性を悪用するリスクを軽減する
- ネットワークをセグメント化して、脅威アクターが脆弱なシリアル・IP変換器に到達したり、それらのデバイスを使用して他の重要資産を侵害するのを防ぐ
- それらがインターネットに公開されていないことを確認する
- 管理インターフェース(ウェブUIなど)に厳密なアクセス制御を実装して、事前に承認された管理ワークステーションのみがアクセスできるようにする
- 専用サブネットワークまたはVLANを使用して、管理するシリアルデバイスとそのシリアルデータにアクセスできるIPサイドデバイスとのみ通信できるようにする
- シリアル・IP変換器への搾取試行と、攻撃者がシリアルリンクから読み取られた、または送信されたデータを標的にしていることを示す異常な通信パターンを監視する
