Tenable ブログ
ブログ通知を受信するForescout の「OT: ICEFALL」、オペレーショナルテクノロジーの設計上の脆弱性状態を調査
Forescout の Vedere Labs による最新の調査では、56 件の設計上の脆弱性の観点から、オペレーショナルテクノロジーのリスク管理の実態が報告されています。
背景
6 月 20 日、Forescout の Vedere Labs は、オペレーショナルテクノロジー (OT) の脆弱性に関する最新の調査結果 OT:ICEFALL を公開しました。このグループは、OT セキュリティに影響を及ぼす脆弱性を数年前から調査しており、NUCLEUS:13、NAME:WRECK、NUMBER:JACK および AMNESIA:33 などの注目すべき発見を報告しています。
OT:ICEFALL の目的は、OT 製品の設計段階においてセキュリティが考慮されていないために発生する脆弱性の蔓延と影響の分析と理解です。この調査では、研究者は、OT リスク管理を体系的に調べ、脆弱な製品の認証、CVE の割り当ての欠如、脆弱性を広めるサプライチェーンなど、多くの要因が OT におけるリスク管理を複雑化させていることを報告しています。Forescout は、この調査で 9 社のベンダーの製品で 56 件の脆弱性があることを公開しました。10 社目のベンダーも 4 件の脆弱性の影響を受けていますが、現在、開示プロセスの過程にあります。
分析
56 件の脆弱性はすべて、次の製品内の OT 領域に共通する「設計上安全でない」ために発生する脆弱性に関連しています。
ベンダー | 影響を受ける製品 |
---|---|
Bently Nevada | 3700 TDI 機器 |
Emerson | DeltaV Ovation OpenBSI ControlWave BB 33xx ROC Fanuc PACsystems |
Honeywell | Trend IQ Safety Manager FSC Experion LX ControlEdge Saia Burgess PCD |
JTEKT | Toyopuc |
Motorola | MOSCAD ACE IP ゲートウェイ MDLC ACE1000 MOSCAD Toolbox STS |
Omron | SYSMAC Cx シリーズ Nx シリーズ |
Phoenix Contact | ProConOS |
シーメンス | WinCC OA |
横河電機 | STARDOM |
これらの脆弱性は、次の 4 つのカテゴリに分類できます。
- 安全でないエンジニアリングプロトコル
- 弱い暗号化または壊れた認証スキーム
- 安全でないファームウェアアップデート
- ネイティブ機能によるリモートコード実行
最悪のシナリオでは、攻撃者が脆弱なデバイスへのネットワークにアクセスしたて、これらの脆弱性を悪用して、コードのリモート実行、OT デバイスのロジック、ファイルやファームウェアの変更、認証のバイパス、資格情報の侵害、サービスの拒否などを引き起こし、運用にさまざまな影響を及ぼす可能性があります。Forescout によると、開示された 56 件の脆弱性の 35% がファームウェアの操作やリモートコード実行に悪用される可能性があります。
この調査結果は、Industroyer や TRITON などの同様の設計上の脆弱性がある OT 環境を標的とした以前の産業用制御システムへのサイバー攻撃を思い起こさせます。また、本調査は、ほとんどの監視制御とデータ取得 (SCADA) システムおよび分散制御システム (DCS) フィールドデバイスにある脆弱性と不安定性を調査して実証する取り組みである 2017 年の Digital Bonds による Project Basecamp に続くものです。
概念実証
開示された 56 件の脆弱性のいずれに対しても利用可能な概念実証はありません。これらの脆弱性の多くは、実稼働環境では長期間セキュリティパッチが適用されないままになるため、Forescout は、調査の過程で発見された個々の脆弱性の技術的な詳細を公開していません。
ベンダー応答
Forescout は、ベンダーによるパッチ適用についての具体的な詳細を提供していません。企業は、すべての OT プロバイダーからのベンダーアドバイスを監視する必要があります。
CISA は、OT:ICEFALL に関するアドバイス、および、影響を受ける製品の一部に関する 5 つの産業用制御システムアドバイザリを公開しています。また、横河電機は、STARDOM 製品の脆弱性に関するアドバイスを発行しています。
ソリューション
現時点でのこれらの脆弱性に対する最善の防御対策は、以下のような OT のベストプラクティスに従うことです。
- システムに存在する脆弱なデバイスを評価する
- 脆弱なデバイスを区分けし、特にインターネットから分離する
- 運用にアクセスが必要な場合は、安全なリモートアクセス方法を使用する
- ベンダーからの最新のパッチを適用し、修復方法を確立する
- 異常なトラフィックをブロックまたは警告するネットワーク監視ルールを作成する
影響を受けているシステムの特定
Tenable Research は、OT:ICEFALL 関連の脆弱性が存在する可能性のあるデバイスを特定するためのプラグインを開発しました。
- 500655 - Saia Burgess OT:ICEFALL 関連の複数の潜在的な脆弱性
- 500656 - Honeywell OT:ICEFALL 関連の複数の潜在的な脆弱性
- 500657 - Omron OT:ICEFALL 関連の複数の潜在的な脆弱性
- 500658 - Emerson OT:ICEFALL 関連の複数の潜在的な脆弱性
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
- Nessus Network Monitor
- OT Security
- Risk-based Vulnerability Management
- SCADA
- Vulnerability Management