Cisco Japan Blog

注目の脆弱性:Allen Bradley MicroLogix 1400 シリーズ デバイスの複数の脆弱性

1 min read



脆弱性の発見者:Cisco Talos Jared Rittle および Patrick DeSantis

概要

Rockwell Automation 社製の Allen-Bradley MicroLogix 1400 プログラマブル ロジック コントローラ(PLCs)は、さまざまな産業用制御システム(ICS)のアプリケーションおよびプロセスに使用するシステムとして販売されています。このシリーズのデバイスは、多くの重要なインフラストラクチャ部門において、重大なプロセス制御機能の高いパフォーマンスを実現するシステムとして信頼されています。Cisco Talos は以前、これらのデバイスに存在する脆弱性の詳細情報popup_iconを公開しました。Cisco Talos がこれらのデバイスの分析を続けたところ、新たな脆弱性が複数見つかりました。それらが悪用されると、デバイスの設定やラダー ロジックが変更されたり、変更したプログラムがデバイスのメモリ モジュールに書き込まれたり、デバイスのメモリ モジュールからプログラム データが削除されたり、あるいは、影響を受けるデバイスにサービス妨害(DoS)攻撃が実行されたりする危険性があります。産業用制御プロセス内で影響を受けた PLC によっては、深刻な被害がもたらされる恐れがあります。

脆弱性の詳細

Allen-Bradley MicroLogix 1400 シリーズ B のイーサネット カードが不正な形式のパケットでサービス妨害(DOS)を起こす脆弱性(TALOS-2017-0440 / CVE-2017-12088)

この脆弱性が悪用されると、認証されていない攻撃者は細工されたパケットを送信して影響を受けるデバイスで電源の再投入を発生させます。その結果、システムが障害状態になり、デバイスに保管されていたラダー ロジックが削除されます。EtherNet/IP プロトコルはこの脆弱性の悪用には使用されていないため、RSLogix を使って単に EtherNet/IP プロトコルを無効にしても、効果的な対処にはならないことに注意することが重要です。この脆弱性の詳細については、こちらpopup_iconからアドバイザリをご覧下さい。.

Allen-Bradley MicroLogix 1400 シリーズ B ラダー ロジック プログラムをダウンロードするデバイスでサービス妨害(DoS) によるデバイス障害が起こる脆弱性(TALOS-2017-0441 / CVE-2017-12089)

この脆弱性が悪用されると、認証されていない攻撃者は細工したパケットを送信して、サービス妨害(DoS)状態を引き起こすことができます。この脆弱性は影響を受けるデバイスのプログラム ダウンロード機能に存在します。攻撃者は、「Download Complete(ダウンロード完了)」(CMD 0x0F, FNC 0x52)で終了しない「Execute Command List(実行コマンド リスト)」(CMD 0x0F, FNC 0x88)パケットを送信して、デバイスに障害を発生させることができます。これが発生すると、デバイスはこれを破損状態として処理し、非ユーザ障害モードが開始されます。通常稼働が停止し、保管されているいずれかのロジックが削除されます。この脆弱性の詳細については、 こちらpopup_iconからアドバイザリをご覧下さい。.

Allen-Bradley MicroLogix 1400 シリーズ B 「SNMP-Set」操作による不正動作の処理がサービス妨害(DoS)を命令する脆弱性 (TALOS-2017-0442 / CVE-2017-12090)

この脆弱性は、ファームウェア アップデート中に受け取る「snmp-set」コマンドをデバイスがどのように処理するかに関係してします。この脆弱性が悪用されると、認証された攻撃者は影響を受けるデバイスでサービス妨害(DoS)を引き起こすことができます。ファームウェアの更新プロセス中に送信される最終コマンドと関連付けられている後続の「snmp-set」コマンドを送信せずに細工された「snmp-set」コマンドを送信することで、攻撃者はデバイスで電源の再投入を強制的に発生させ、リブート プロセスの間デバイスを利用不可にします。この脆弱性には、有効な SNMP の認証情報が必要ですが、ハード コーディングされた SNMP 認証情報(こちらpopup_iconのアドバイザリに記載) を利用して、影響を受けるデバイスにそのレベルの権限でアクセスすることができます。この脆弱性の詳細については、 こちらpopup_iconからアドバイザリをご覧下さい。.

Allen-Bradley MicroLogix 1400 シリーズ B 認証されていないデータ/プログラム/機能ファイルが不適切にアクセス制御される脆弱性(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473)

この脆弱性は、影響を受けるデバイスでの不適切なファイル アクセス制御に関係しています。認証されていない攻撃者はこの脆弱性を悪用して、デバイスに保存されているファイルの読み取りと書き込みを実行します。これにより、影響を受けるデバイスからマスター パスワードなどの機密情報が盗取されたり、デバイス設定やラダー ロジックが変更されたり、サービス妨害(DoS)状況が発生して障害状態に陥ったりする危険性があります。
この脆弱性の詳細については、こちらpopup_iconからアドバイザリをご覧下さい。.

Allen-Bradley MicroLogix 1400 シリーズ B メモリ モジュールに保存されているプログラム ファイルが書き込まれる脆弱性(TALOS-2017-0444 / CVE-2017-12092)

認証されていない攻撃者はリモートでこの脆弱性を悪用して、影響を受けるデバイスにインストールされているモジュールにオンライン プログラムを書き込みます。攻撃者はこれを利用してプログラム変更を保存しますが、そのプログラムはデバイスで電源の再投入が行われるまで有効になりません。攻撃者は新しく保存されたプログラムを「Load Memory Module On Memory Error(メモリへのメモリ モジュール読み込みエラー)」の設定と一緒に使用してシステム設定を変更し、その結果、有効なサービスが変更されます。この脆弱性に関する詳細については、こちらpopup_iconからアドバイザリをご覧ください 。

Allen-Bradley MicroLogix 1400 シリーズ B PLC セッション コミュニケーションのリソース プールが不十分になることで発生するサービス妨害(DoS)の脆弱性(TALOS-2017-0445 / CVE-2017-12093)

この脆弱性は、影響を受けるデバイス上のセッションの接続機能に存在します。これらのデバイスはデフォルトで最大 10 の同時接続をサポートします。最大数に到達すると、デバイスは古い接続を終了し、デバイスで確立された新しい接続用に接続プールにスペースを作ります。認証されていない攻撃者は、影響を受けるデバイスに対して、一定期間にわたり複数の「Register Session」パケットを送信し、正当な接続を強制的に終了するだけでなく、正当な接続が新たに確立されるのを阻止します。この脆弱性の詳細については、こちらpopup_iconからアドバイザリをご覧下さい。

該当バージョン

Cisco Talos はテストの結果、これらの脆弱性が以下のバージョンに影響することを確認しました。

Allen-Bradley Micrologix 1400 シリーズ B FRN 21.003
Allen-Bradley Micrologix 1400 シリーズ B FRN 21.002
Allen-Bradley Micrologix 1400 シリーズ B FRN 21.0
Allen-Bradley Micrologix 1400 シリーズ B FRN 15

まとめ

これらのデバイスは多くの場合重要な産業用制御プロセスをサポートするために導入されています。そのため、影響を受けるデバイスを使用する組織には、ファームウェアを最新バージョンにアップグレードして、これ以上脆弱性の影響を受けないようにすることをおすすめします。これらの脆弱性に関する公開済みのアドバイザリは、こちらpopup_iconからご覧になることができます。

カバレッジ

これらの脆弱性を不正利用しようとする試みを検出するため、以下の Snort SID が追加されました。

Snort のルール:44419 44429

 

本稿は 2018年3月28日に Talos Grouppopup_icon のブログに投稿された「Vulnerability Spotlight: Multiple Vulnerabilities in Allen Bradley MicroLogix 1400 Series Devicespopup_icon」の抄訳です。

 

コメントを書く