Trellix Threat Labsは、2022年6月9日、Hardwear.io Security Training and Conferenceにおいて、ある産業制御システム(ICS)の脆弱性についての新しい研究成果を共有しました。このICSは、厳重な管理を要する施設への物理的アクセスの管理や、より複雑なビルディングオートメーションの配備の浸透が可能です。
Trellix Threat Labsの脆弱性調査チームは、ICSとオペレーショナル・テクノロジー(OT)に対する脅威を注視しています。これは、Gartner Inc.の定義によると、産業機器、資産、プロセス、イベントの直接監視や制御を通じて、変化を検出または引き起こすハードウェアとソフトウェアです。Trellixは、最新のプロジェクトにおいて、「セキュリティの強化を通じ、組織のサイバーレジリエンスを向上させる」という弊社のミッションに合致するような、トピックとして興味深い製品を調査することにしました。
この調査は、医療、教育、運輸、政府機関などの物理的なセキュリティに使用されているHID Mercuryのアクセスコントロールパネルを対象に実施されました。20社以上のOEMパートナーが、Mercuryボードを使用したアクセスコントロールソリューションを提供しています。ベンダーの1社、Carrier LenelS2様には、HID Mercury社への情報開示のために、弊社と緊密な連携をとっていただきました。調査の結果、4件のゼロデイ脆弱性と、過去にパッチが適用されたもののCVEとして公開されていない4件の脆弱性を発見しました。これらの脆弱性の影響によって、攻撃者はドアロックの遠隔操作ができるなど、システムの完全な制御が可能になります。デモ映像はこちらでご覧いただけます。
https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-01
ハックできますか?はい、できます!
脆弱性の調査チームは、常に対象のハードウェアやソフトウェアに欠陥が発見されることを想定した上で調査プロジェクトを開始します。このアクセスコントロールパネルを調査対象に選んだ理由は、汎用的であること、利用している業種の多さと重要性、製品が取得しているセキュリティ認証、市場全体における位置づけなどです。
今回のプロジェクトでは、脆弱性が見つかる可能性が高いことがあらかじめ予想されていました。というのも、アクセスコントローラのOSがLinuxで、古典的なハードウェアのハッキング技術を活用すれば、ボードへのルートアクセスが可能であるためです。欠陥が見つかるとの確信があったものの、比較的最近のテクノロジーに一般的なレガシーソフトウェアの脆弱性が見つかるとは予想していませんでした。
完全なシステム制御
解析はハードウェアの最下層から始まります。既知の技術と新しい技術の両方を組み合わせることで、デバイスのOSにルートアクセスし、ファームウェアを引き出してエミュレーションと脆弱性の発見を行うことができました。
システム制御を実現するため、段階的なアプローチを取りました。
- 物理的なアクセス:ハードウェアハッキング技術を利用して、製造工程でよく使用されるオンボードのデバッグポートを使用し、セキュリティ対策を回避してシステムを強制的に望ましい状態にすることができました。これらの手順により、ルートアクセスを獲得し、システムのファームウェアにアクセスし、スタートアップスクリプトを変更することで、リサーチのためのアクセスを継続的に確保することができました。
- ネットワークアクセス:ファームウェアとシステムバイナリを手に入れた私たちは、次にネットワークからアクセスできるソフトウェアに着目しました。リバースエンジニアリングとライブデバッグにより、ネットワーク経由でリモートから攻撃可能な未認証の脆弱性を6件、認証済みの脆弱性を2件発見しました。
-
エクスプロイト:2つの脆弱性を連鎖させることで、アクセスコントロールボードをエクスプロイトし、リモートでデバイスのルートレベルの権限を取得することに成功しました。このルートレベルのアクセス権で、正規のソフトウェアと並行して動作し、ドアを制御するプログラムを作りました。これにより、あらゆるドアのロックを解除し、あらゆるシステム監視を覆すことができるようになったのです。
重大な脆弱性の発見
重要なのは、脆弱性を発見したことで、遠隔操作でドアのロックを解除したり、アラームを無効にしたり、ログや通知システムを弱体化できることが実証できたことです。最も重要度の高いCVEは、未認証のユーザーによるリモートコード実行(RCE)であり、脆弱性の最大スコアである10.0 CVSSの基本スコアを獲得しています。CVSSスコアは普遍的なものではありませんし、ターゲットやアプリケーションによって解釈が異なる可能性があります。
|
CVE |
概要 |
Mercuryファームウェアバージョン |
CVSS スコア |
|
CVE-2022-31479 |
未認証のユーザーによるコマンドインジェクション |
<=1.291 |
ベース9.0、 |
|
CVE-2022-31480 |
未認証のユーザーによるDoS(Denial-of-Service) |
<=1.291 |
ベース7.5、 |
|
CVE-2022-31481 |
未認証のユーザーによるリモートコード実行 |
<=1.291 |
ベース10.0、 |
|
CVE-2022-31486 |
認証された攻撃者によるコマンドインジェクション |
<=1.291 (パッチなし) |
ベース8.8、 |
|
CVE-2022-31482 |
未認証のユーザーによるDoS(Denial-of-Service) |
<=1.265 |
ベース7.5、 |
|
CVE-2022-31483 |
認証された攻撃者による任意のファイルの書き込み |
<=1.265 |
ベース9.1、 |
|
CVE-2022-31484 |
未認証ユーザーによる改ざん |
<=1.265 |
ベース7.5、 |
|
CVE-2022-31485 |
未認証ユーザーによる情報詐称 |
<=1.265 |
ベース5.3、全4.8 |
表1 – Mercury Access Controlの脆弱性に関するCVE申請状況
HID Globalは、Mercuryボードを使用しているすべてのOEMパートナーに対して、特定のハードウェアコントローラプラットフォームに脆弱性があることを通知しています。この調査は、Carrier社のような企業と協力し物理アクセスシステムを導入するベンダーやサードパーティにとって、実用性があります。HID Global Mercuryボードを使用している顧客は、悪意のある攻撃者が利用する前に、Mercury OEMパートナーにお問い合わせいただき、セキュリティパッチにアクセスする必要があります。機密情報や保護された場所へのデジタル上の、または物理的な侵害が発生する可能性があります。
OTとICSへのリスク
2021年にIBMが行った調査によると、物理的なセキュリティ侵害の平均コストは354万ドルで、侵害を特定するのに平均223日かかるとされています。施設のセキュリティと安全性を確保するために入退室管理システムに依存している組織にとっては、大きな賭けのようなものです。米国のCISA(Cybersecurity and Infrastructure Security Agency)は、「ICSのセキュリティには特有の課題がある。最も重要なことは、ICSは物理的な運用プロセスを管理するが、情報技術(IT)と運用技術(OT)の融合が進むと、悪用の機会が生じ、人命損失、経済被害、社会の依存する国家重要機能(NCF)の混乱などの破局的結果に至る可能性がある」と述べています。
すでにリスクは高く、さらに高まっています。産業システムに対する脅威を先取りするための組織支援は、国家安全保障上の必須課題です。CISAのような機関は、ICSの攻撃対象領域を緊急の脅威と長期的なリスクから確実に守るための優先事項、目標、ベストプラクティスを発表しています。官民のパートナーシップは、国家の安全保障と悪質な行為から身を守るために非常に重要です。Trellix Threat Labsは、脆弱性の管理と是正を確実にするために、政府機関のパートナーおよび対応する情報機関にこれらの調査結果を説明しました。2022年6月2日、CISAは私たちの調査結果を参照した速報を発表しました。詳細はこちらでご覧いただけます。
消費者にとって今回公表された脆弱性は一見影響が少ないように見えますが、重要インフラの攻撃は私たちの日常生活に影響を与えます。
認証に関する注意点
私たちがこの製品に着目した大きな要因の一つは、この製品が満たしているとされている認証と試験要件でした。これらの認証は正当なものですが、ユーザーや研究者にとって必ずしも厳格なテストや監査を意味するものではなく、デバイスやソフトウェア自体の実際のセキュリティ状態を反映するものではないのです。
例えば、この機器は連邦政府で使用するための認証を受け、政府サービス管理局(GSA)の承認済み製品リスト(APL)に追加掲載されているので、購入者にはしっかりした製品であると思わせます。しかし、IT・OT環境に製品を導入する前に、その製品の認証を独自に評価することは非常に重要です。
ソリューション
Carrier社は、製品のセキュリティページで、不具合の具体的な内容、推奨される緩和策やファームウェアのアップデートについて、新たな注意喚起を行いました。可能な限り、ベンダーのパッチを適用することが、最初の行動方針となります。
また、Carrier社の情報開示への取り組みと、その効果について高く評価したいと思います。これらの脆弱性にパッチを適用し、公開するまでの過程で、同社のセキュリティチームと交流できたことは、素晴らしい経験でした。発見された脆弱性は、Carrier社の管理下にあるソフトウェアに存在するものではなかったにもかかわらず、同社はボードのOEMパートナーの1社として、HID Mercuryとの開示プロセスの促進に協力する責任を感じていました。
Trellixの顧客は、IPSプラットフォーム上で以下のシグネチャを使用することで、CVE-2022-31486に対するエクスプロイトの試みを検知することができます。
| SID | 署名名 |
| 85320442 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
| 85320443 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
| 85320444 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
| 85320445 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
| 85320446 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
| 85320447 | ポートリスニングユーティリティ(CVE-2022-31486)を使用したコマンドインジェクションの試み |
表2-CVE-2022-31486のTrellixIPSシグネチャ
※本ページの内容は2022年6月9日(US時間)更新の以下のTrellix Storiesの内容です。
原文:Trellix Threat Labs Uncovers Critical Flaws in Widely Used Building Access Control System
著者:Steve Povolny, Sam Quinn