Tenable ブログ
ブログ通知を受信する
CVE-2023-3595、CVE-2023-3596: ロックウェル・オートメーションの ControlLogix の脆弱性が公開される
ロックウェル・オートメーションが、重要インフラのプロセスの中断や破壊につながる重大な欠陥を含む、複数の脆弱性についてのアドバイザリを発行しました。
7 月 12 日更新: 「影響を受けているシステムの特定」セクションが更新され、新たにリリースされた Tenable OT Security プラグインと、これらの脆弱性に対する既存のプラグインの更新についての内容が記載されました。
背景
7 月 12 日、ロックウェル・オートメーションは、同社の Allen-Bradley ControlLogix の通信モジュールに存在する複数の脆弱性について、アドバイザリを公開しました。 ControlLogix の通信モジュールは、多くの業界や分野、とりわけエネルギー業界、輸送業界、水処理業界において、機械、IT システム、リモートシャーシ間の通信に使用されています。
| CVE | 説明/対策 | CVSSv3 | 深刻度 |
|---|---|---|---|
| CVE-2023-3595 | ロックウェル・オートメーションの Allen-Brad ControlLogix の通信モジュールにおけるリモートコード実行の脆弱性 | 9.8 | 緊急 |
| CVE-2023-3596 | ロックウェル・オートメーションの Allen-Brad ControlLogix の通信モジュールにおけるサービス拒否の脆弱性 | 7.5 | 高 |
注意すべき点は、これらのモジュールが、複数の論理 (および物理) 構成に実装できることです。 1756 ControlLogix シャーシでは、1 台のローカルシャーシに最大 17 個のモジュールを取り付けることができます。 産業環境では、ネットワークをブリッジしたり分割したりするよう、複数のネットワークインターフェース (物理ネットワークカード) を設定するのが一般的です。
分析
CVE-2023-3595 は、ロックウェル・オートメーションの Allen-Bradley ControlLogix の、1756 EN2* および 1756 EN3* 製品ファミリーの通信モジュールにおけるリモートコード実行 (RCE) の脆弱性です。 攻撃者は、この脆弱性を悪用して特別に細工された産業用共通プロトコル (CIP) メッセージを送信して、脆弱なモジュールに対する RCE を行えるようにしてしまうことがあります。そして、モジュールがインターネットから分離されていない場合、悪用されるリスクは増大します。 悪用された際は、攻撃者は脆弱なモジュールのメモリを侵害できるようになり、次のことを実行されるおそれがあります。
- モジュールのファームウェアの操作
- モジュールに新しい機能を追加
- モジュールのメモリを消去
- モジュール間のトラフィックを偽造
- モジュールに持続性を確立
攻撃者は、この脆弱性によって脆弱なモジュールそのものを侵害するだけでなく、産業プロセスや、その土台となる重要なインフラにも影響を与える可能性があるため、混乱や破壊が生じる恐れがあります。
CVE-2023-3596 は、ロックウェル・オートメーションの Allen-Bradley ControlLogix の、1756 EN4* 製品ファミリーの通信モジュールにおけるサービス拒否 (DoS) の脆弱性です。 攻撃者は、この脆弱性を悪用して、特別に細工された CIP メッセージを脆弱なデバイスに送信し、対象システムで DoS 状態を引き起こす可能性があります。
このブログ記事の公開時点では、どちらの脆弱性にも悪用の痕跡はありませんでした。
ソリューション
ロックウェル・オートメーションは、ControlLogix モジュールの特定のバージョンを対象として、以下の修正済みのファームウェアバージョンをリリースしました。
|
ControlLogix カタログ |
シリーズ |
影響を受けるバージョン |
修正済みバージョン |
|---|---|---|---|
|
1756-EN2T |
A、B、C |
5.008 以下と 5.028 |
署名バージョンには 5.029 (推奨) |
|
D |
11.003 以下 |
11.004 以上 |
|
|
1756-EN2TP |
A |
11.003 以下 |
11.004 以上 |
|
1756-EN2TR |
A、B |
5.008 以下と 5.028 |
署名バージョンには 5.029 (推奨) |
|
C |
11.003 以下 |
11.004 以上 |
|
|
1756-EN2F |
A、B |
5.008 以下と 5.028 |
署名バージョンには 5.029 (推奨) |
|
C |
11.003 以下 |
11.004 以上 |
|
|
1756-EN3TR |
A |
5.008 以下と 5.028 |
署名バージョンには 5.029 (推奨) |
|
B |
11.003 以下 |
11.004 以上に更新 |
|
|
1756-EN4TR |
A |
5.001 以下 |
5.002 以上に更新 |
ベストプラクティスとしては、制御ネットワークを適切に分割し、侵入検出システム (IDS) シグネチャを使用して、脆弱なデバイスへの「異常な産業用共通プロトコル (CIP)」のトラフィックを特定する方法があります。
影響を受けているシステムの特定
Tenable では、影響を受けているシステムを特定するために、Tenable OT Security (旧称 Tenable.ot)、Tenable Vulnerability Management (旧称 Tenable.io)、Tenable Security Center (旧称 Tenable.sc)、Tenable Nessus で利用可能な以下のプラグインをリリースしました。
| プラグインID | タイトル | 深刻度 | ファミリー |
|---|---|---|---|
| 177893 | ロックウェル・オートメーションの ControlLogix の通信モジュールにおける複数の脆弱性 | 緊急 | SCADA |
| 501226 | ロックウェル・オートメーションの ControlLogix の通信モジュールにおけるリモートコード実行 (CVE-2023-3595) | 緊急 | Tenable OT Security |
| 501228 | ロックウェル・オートメーションの ControlLogix の通信モジュールにおけるサービス拒否 (CVE-2023-3596) | 高 | Tenable OT Security |
緊急の場合、Tenable のお客様は SCADA プラグインを利用し、Tenable Vulnerability Management、Tenable Security Center、Tenable Nessus を使用して脆弱なデバイスをスキャンできます。 ただし、ネットワークへの影響に対する可視性を高めるためには、Tenable OT Security プラグインを使用することを強くお勧めします。 Tenable OT Security を使用して脆弱な資産を特定する方法について詳しくは、ブログ記事「OT 環境における、CVE-2023-3595 と CVE-2023-3596 の影響を受けるロックウェル・オートメーションの Allen-Bradley 通信モジュールの発見 (Finding Rockwell Automation Allen-Bradley Communication Modules Affected By CVE-2023-3595, CVE-2023-3596 in OT Environments)」を参照してください。
Tenable Research では、これらのプラグインに加えて、Tenable OT Security で以下の IDS イベントルール ID (SID) を使用して、侵害される可能性がある通信アダプターを検出することを推奨しています。
| SID | メッセージ |
|---|---|
| 1992000 | PROTOCOL-SCADA ENIP CIP ソケットオブジェクトでコネクションなしの異常な長さの読み取りが検出されました。(PROTOCOL-SCADA ENIP CIP Socket Object unconnected read with unusual length detected.) |
| 1992001 | PROTOCOL-SCADA ENIP CIP ソケットオブジェクトでコネクションなしの異常な長さの ucmm 読み取りが検出されました。(PROTOCOL-SCADA ENIP CIP Socket Object unconnected ucmm read with unusual length detected.) |
| 1992002 | PROTOCOL-SCADA ENIP CIP ソケットオブジェクトでコネクションありの異常な長さの読み取りが検出されました。(PROTOCOL-SCADA ENIP CIP Socket Object connected read with unusual length detected.) |
| 1992003 | PROTOCOL-SCADA ENIP CIP ソケットオブジェクトでコネクションありの異常な長さの ucmm 読み取りが検出されました。(PROTOCOL-SCADA ENIP CIP Socket Object connected ucmm read with unusual length detected.) |
| 1992004 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションなしの異常な長さのパラメーター 1 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object unconnected parameter 1 contains unusual length.) |
| 1992005 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションなしの異常な長さのパラメーター 2 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object unconnected parameter 2 contains unusual length.) |
| 1992006 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションなしの異常な長さの ucmm パラメーター 1 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object unconnected ucmm parameter 1 contains unusual length.) |
| 1992007 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションなしの異常な長さの ucmm パラメーター 2 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object unconnected ucmm parameter 2 with unusual length.) |
| 1992008 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションありの異常な長さのパラメーター 1 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object connected parameter 1 contains unusual length.) |
| 1992009 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションありの異常な長さのパラメーター 2 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object connected parameter 2 with unusual length.) |
| 1992010 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションありの異常な長さの ucmm パラメーター 1 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object connected ucmm parameter 1 contains unusual lengt.) |
| 1992011 | PROTOCOL-SCADA ENIP CIP ベンダー固有のオブジェクトに、コネクションありの異常な長さの ucmm パラメーター 2 が含まれています。(PROTOCOL-SCADA ENIP CIP Vendor Specific Object connected ucmm parameter 2 contains unusual length.) |
Tenable OT Security でこれらの SID を利用する方法の詳細は、以下のナレッジベース記事をご覧ください。
このブログ記事は、追加の情報が入り次第更新します。
詳細情報
- Tenable ブログ: OT 環境における、CVE-2023-3595 と CVE-2023-3596 の影響を受けるロックウェル・オートメーションの Allen-Bradley 通信モジュールの発見 (Finding Rockwell Automation Allen-Bradley Communication Modules Affected by CVE-2023-3595 and CVE-2023-3596 in OT Environments)
- Rockwell アドバイザリ (CVE-2023-3595 および CVE-2023-3596 対象)
- SID の使用に関する Tenable ナレッジベース記事
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
DX 時代のアタックサーフェスのためのサイバーエクスポージャー管理プラットフォームである Tenable One の詳細についてはこちらをご確認ください。
変更履歴
7 月 12 日更新: 「影響を受けているシステムの特定」セクションが更新され、新たにリリースされた Tenable OT Security プラグインと、これらの脆弱性に対する既存のプラグインの更新についての内容が記載されました。
関連記事
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
Cybersecurity Snapshot: Attackers Pounce on Unpatched Vulns, DBIR Says, as Critical Infrastructure Orgs Benefit from CISA’s Alert Program
May 3, 2024Verizon’s DBIR found that hackers are having a field day exploiting vulnerabilities to gain initial access. Plus, a CISA program is helping critical infrastructure organizations prevent ransomware attacks. In addition, check out what Tenable’s got planned for RSA Conference 2024. And get the latest on the Change Healthcare breach. And much more!
- Exposure Management
- Vulnerability Management
- Exposure Management