VISIT ARMIS.COM
7月 13, 2023

Crit.IX:ハネウェル社の分散制御システム(DCS)向けExperion®️プラットフォームに9件の脆弱性が発見される

By Tom Gol

Product Manager

Crit.IX logo

概要

本日、ArmisとHoneywellは共同で「Crit.IX」を公開しました。これは、Armisの研究者がHoneywell Experion® DCSプラットフォームに新たに発見した9件の脆弱性で、Honeywellサーバおよびコントローラのレガシーバージョンの両方において、不正にリモートでコードを実行される可能性があります。 この脆弱性が悪用された場合、攻撃者はデバイスを乗っ取り、DCSコントローラの動作を変更することが可能になります。 これらの脆弱性を悪用する場合、認証は必要なく、対象となるデバイスへのネットワークアクセスのみが必要となります。 DCSデバイスと同じネットワーク上にある侵害されたIT、IoT、OT資産が攻撃に利用される可能性があります。

2022年5月、Armisは、Experion C300コントローラーおよびサーバー内で発見された13のコード問題の発見をHoneywellと確認しました。 これらは9つの新たな脆弱性となり、そのうちの7つはクリティカルとみなされました。 これらの脆弱性の重大性と影響のため、ハネウェルとArmisは、これらの発見を調査し、根本的な問題を理解し、パッチに向けて作業するために協力してきました。 ハネウェルはセキュリティパッチを提供し、影響を受けるすべてのお客様に直ちにパッチを適用することを強く推奨しています。

主な調査結果

  • 当社の調査により、CDAプロトコル(Honeywell ExperionサーバーとC300コントローラー間の通信に使用される、Honeywellが独自に設計したプロトコル)の弱点が明らかになりました。 このプロトコルには、レガシーにおける暗号化と適切な認証メカニズムが欠けています。 その結果、ネットワークにアクセスできる人なら誰でも、コントローラとサーバーの両方になりすますことができます。 さらに、CDAプロトコルには設計上の欠陥があるため、データの境界を制御することが難しく、バッファオーバーフローにつながる可能性があります。
  • ハネウェルはまた、Experionサーバー上にCDAデータクライアントネームドアクセスプロトコルを実装しており、このプロトコルは、Honeywell Experion®サーバーとExperion®アプリケーション間の通信に使用され、これらのアプリケーションによるタグ名アクセスを可能にします。 ハネウェル社のこのプロトコルの実装には、Experion Server上でリモート・コード実行(RCE)を許す4つの脆弱性が含まれていることが判明しました。この脆弱性は、ハネウェルの LX プラットフォームおよび PlantCruise プラットフォームにも影響します。
  • 情報開示の過程で、脆弱なコードが他の製品で再利用されているため、脆弱性はハネウェルのLXおよびPlantCruiseプラットフォームにも影響することがわかりました。

影響を受けるデバイス

今回新たに発見された脆弱性は、Honeywell Experion DCS プラットフォームの 3 つのバージョンにまたがるさまざまな製品に影響します。Experion Process Knowledge System(EPKS)プラットフォーム(Experion Server および Experion Station)。LX および PlantCruise プラットフォーム(Engineering Station および Direct Station)。さらに、この脆弱性は、3 つのプラットフォームすべてで使用されている C300 DCS コントローラにも影響します。

重要インフラの保護

ここ数年、重要インフラ・システムが直面するリスクの増大を浮き彫りにする、オペレーショナル・テクノロジー(OT)を標的とした注目すべき攻撃や脆弱性が着実に増加しています。

2022年6月にハッカー集団「Predatory Sparrow」によって行われたとされるイランの製鉄所への攻撃は、その重要な一例です。 同グループは、施設内で深刻な火災を引き起こしたと述べ、鋼鉄が溶け出し炎を出し始めた時に、作業員が工場のエリアから避難する様子を映したCCTV映像と思われる動画まで公開しました。 ほとんどのサイバー攻撃は通常デジタル領域で発生するため、この攻撃は物理的な被害を引き起こしたという点で、その特異さから重要な意味を持ちます。

また、米国最大級の燃料パイプラインであるコロニアル・パイプラインの事故も話題になりました。 2021年5月、このパイプラインはランサムウェア攻撃を受け、東海岸沿いの燃料供給に支障をきたしました。 この攻撃はパイプラインのITネットワークの脆弱性を突いたもので、操業に支障をきたし、さまざまな州で燃料不足を引き起こしました。 この出来事は、ITシステムとOTシステムの相互関連性を浮き彫りにし、重要インフラのあらゆる側面における強固なサイバーセキュリティ対策の必要性を強調しました。

これらの事例は、脅威の増大と、潜在的な攻撃や脆弱性から重要な OT システムを保護するために、防御を強化し、強固なセキュリティ対策を実施し、関係者間の協力を促進することが緊急に必要であること示すものです。

ICSの脆弱性は、発電所、製造施設、石油精製所などの重要インフラに重大なリスクをもたらす。 責任ある脆弱性の開示は、これらのシステムを潜在的な攻撃から確実に保護し、公共の安全と業務継続への影響を最小限に抑える上で重要な役割を果たします。

Armisは責任ある情報公開を非常に重要視しており、Honeywellと協力してこれらの重要な脆弱性にさらされる可能性のある組織をサポートすることができることを嬉しく思っています。 

責任ある情報公開とコラボレーション

Armisのテクニカル・ホワイト・ペーパーは、脆弱性の詳細とArmisチームがどのように脆弱性を発見したかを概説しています。 このホワイトペーパーは、 https://media.armis.com/pdfs/wp-critix-honeywell-experion-vulnerabilities-ja.pdf

緩和策

ハネウェルは、セキュリティパッチを提供し、影響を受けるすべての組織に対して、速やかにパッチを適用することを強く推奨しています。

ハネウェルのお客様は、https://process.honeywell.com/ にログインし、Technical Publications セクションを検索することで、パッチにアクセスし、適用することができます。 ハネウェルの脆弱性開示プロセスの詳細については、https://www.honeywell.com/us/en/product-security をご覧ください。

報告された脆弱性に効果的に対処するためには、これらのパッチとファームウェアのアップデ ートを優先的に実施することが不可欠です。 さらに、組織は、定期的なセキュリティ評価、侵入テスト、開発チームに対する包括的なセキュリティ・トレーニングなど、強固なセキュリティ対策への取り組みを継続する必要があります。

Armisによるサポート

OT環境のコントローラやエンジニアリング・ワークステーションに存在する脆弱性を解決するためのパッチの開発と展開は、アタックサーフェス領域を減らすために不可欠です。 ビジネスクリティカルであり、運用プロセスへの影響が大きいため、これらの資産に対するパッチのリリースとインストールには、非常に徹底したQAプロセスが必要であり、ほとんどの場合 調整と最終的な完了に長期間を要するメンテナンスと停止が必要です。 影響を受ける資産は、長期間脆弱なままであると考えるのが妥当です。 この間に、これらの重要なインフラ資産に対する攻撃を検出し、防止するための緩和策を実施することができます。

Armisのお客様は、アセットインテリジェンスセキュリティプラットフォームを活用して、以下の方法でネットワークを保護することができます:

  1. 包括的な資産の可視化。 ハードウェアからファームウェア、ソフトウェアのバージョンまであらゆる側面を網羅する正確なインベントリを作成することで、企業は自社の環境内で脆弱なサーバーやコントローラーを効果的に特定できます。
  2. リスクベースの脆弱性管理プログラムを実装することで、組織は効果的に弱点を最小限に抑え、パッチが適用されていないデバイスをターゲットにしたエクスプロイトのリスクを軽減できます。 さらに、セキュリティ パッチがリリースされたらすぐに適用することで、これらのデバイスの脆弱性を大幅に軽減できます。
  3. 発見された脆弱性は脆弱なデバイスへのネットワーク アクセスのみを必要とするため、ネットワーク セグメンテーションはこれらの脆弱性の悪用を防ぐのに非常に役立ちます。 セキュリティ レベルとデバイスの種類に基づいてネットワークを個別のセグメントに分離することで、組織は攻撃者のさらなる侵入を制限し、潜在的な脅威を効果的に封じ込め、脆弱なデバイスへの影響を軽減できます。 増加。 得。 得る。 入手。 できる。 OT 環境のセグメンテーションは、 Purdue モデルなどの業界参照モデルを使用して実現できます。 これは、OT 環境の論理的または機能的な定義と、OT 資産が期待される動作からどのように調整されるかを表します。 逸脱、特に IT ネットワーク内の資産を含む上位レベルの資産からレベル 0 およびレベル 1 に通信する資産。 セグメンテーションは、これらの資産の動作を理解し、予想されるものだけをホワイトリストに登録することで実現できます。
  4. 十分に保護されたネットワークでも危険にさらされる可能性があります。 したがって、ネットワーク全体および IT、OT、IoT を含むすべてのデバイスにわたる悪用の試みを識別できる堅牢な脅威検出システムを実装することが不可欠です。 シグネチャベースの分析、異常検出、侵害の兆候 (IOC) などの検出技術を組み合わせて採用することで、セキュリティ層が追加され、攻撃が発生した場合の全体的な防御体制が強化されます。

連携した情報開示

ハネウェルのExperion C300コントローラの脆弱性の発見と開示は、産業用サイバーセキュリティの継続的な改善に不可欠です。 ハネウェルのようなベンダーに責任を持って脆弱性を報告することで、セキュリティ研究者は、重要なインフラストラクチャを保護し、産業用制御システムのより安全な環境を育成する上で重要な役割を果たします。 協力的な取り組みと協調的な情報開示の実践を通じて、私達は産業用制御システムのセキュリティ態勢を強化し、潜在的なリスクを軽減することができるのです。

Armisの研究プロセス

Armis Research Labsのチームは、さまざまなデバイスの技術解析を専門に行い、プロトコルに対する包括的な洞察を得て、サイバーセキュリティ態勢を評価します。 プロトコルを十分に理解した後は、関連するデバイスの使用状況を監視して異常がないか確認し、設定ミスや誤動作だけでなく、攻撃者を検出することができます。

緩和策を含む詳細については、当社のページをご覧ください

今後のさらなる議論

Armisは、今後数週間から数ヶ月の間に、これらの脆弱性をさらに深く掘り下げ、議論を進めていく予定です。

Black Hat U.S.では、Armisのプリンシパル・ソリューション・アーキテクトOTであるカルロス・ブエナーノ(Carlos Buenano)が、”Securing critical infrastructure (vulnerability disclosure) with Armis “というセッションで、これらの調査結果について発表します。 この50分間のセッションは、2023年8月9日(水)3:00-3:50pm PTにラスベガスのMandalay Bayで行われます。 詳細は https://www.blackhat.com/us-23/sponsored-sessions/schedule/index.html#securing-critical-infrastructure-vulnerability-disclosure-with-armis-34229 をご覧ください。

さらに、カルロスと私は、これらの脆弱性に関するウェビナーで共同発表を行います。 ウェビナーは9月6日水曜日午前11時(米国東部時間)に開催されます。 Register here: https://event.on24.com/wcc/r/4279011/6F70E4737D9E7789C3C9B69953F6307A?partnerref=blog

最新情報を受け取る

登録して、Armis から最新情報をお受け取りください