Cisco Talos はこのほど、Sealevel Systems 社の SeaConnect IoT エッジデバイスに複数の脆弱性を発見しました。その多くは、中間者攻撃が行われたり、攻撃対象のデバイスでリモートコードが実行されたりする危険性のある脆弱性です。
SeaConnect 370W は、産業用制御システム(ICS)環境で一般的に使用されている WiFi 接続のエッジデバイスです。実際の I/O プロセスのステータスをリモートでモニタリングして制御することができます。このデバイスは、MQTT、Modbus TCP、および「SeaMAX API」という独自のインターフェイスを介したリモート制御を提供します。
SeaConnect 370W には 3 件のバッファオーバーフローの脆弱性が存在します。具体的には TALOS-2021-1389
(CVE-2021-21960、CVE-2021-21961)および TALOS-2021-1390(CVE-2021-21962)です。攻撃者がこれらの脆弱性をエクスプロイトして、攻撃対象のマシンで任意のコードを実行する危険性があります。それぞれの重大度スコアは 10.0、10.0、9.0 で、今回報告された中でも特に深刻な脆弱性となっています。
このほか、TALOS-2021-1388(CVE-2021-21959)という脆弱性があり、攻撃者がデバイスと SeaConnect クラウドサービスの間の中間者攻撃を仕掛けやすくなり、最終的にデバイスが完全に制御されてしまう可能性があります。中間者攻撃の実行中に、TALOS-2021-1391(CVE-2021-21963)、TALOS-2021-1395(CVE-2021-21968)、TALOS-2021-1396(CVE-2021-21969、CVE-2021-21970)、TALOS-2021-1397(CVE-2021-21971)のいずれかがエクスプロイトされる可能性があります。その結果、任意のファイルの上書きや境界外書き込みなど、さまざまな悪意のあるアクションが可能になります。
TALOS-2021-1394(CVE-2021-21967)は、中間者攻撃を仕掛けてスパイ活動を行うことで、最終的にデバイスでサービス妨害(DoS)を引き起こすことができる脆弱性です。TALOS-2021-1392(CVE-2021-21964、CVE-2021-21965)もサービス妨害の脆弱性ですが、この場合は攻撃者が標的のデバイスに細工されたパケットを送信してサービス妨害を引き起こす可能性があります。
さらに、SeaConnect 370W で利用されている Eclipse Foundation の古い組み込みの Paho MQTT Client-C ライブラリの脆弱性も発見しました。攻撃者が TALOS-2021-1406(CVE-2021-41036)をエクスプロイトして、デバイスで境界外書き込みを引き起こす危険性があります。Eclipse Foundation も Sealevel Systems 社も SeaConnect の問題について認識しており、すでに修正されています。
Cisco Talos はシスコの脆弱性開示方針に準拠して Sealevel Systems 社と協力し、その他のすべての脆弱性が解決されたこと、および影響を受けた利用者向けにアップデートが提供されていることを確認しています。
これらの脆弱性の影響を受けることが確認されている Sealevel Systems 社の SeaConnect 370W バージョン 1.3.34 をお使いの方はアップデートをお勧めします。
脆弱性のエクスプロイトは SNORTⓇ ルール(58386、58414 ~ 58417、58458、58461 ~ 58463)で検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Cisco Secure Firewall Management Center または Snort.org を参照してください。
本稿は 2022 年 02 月 02 日に Talos Group
Authors