脆弱性URGENT/11からの保護

脆弱性URGENT/11からの保護

VxWorksオートメーションコンポーネントを攻撃や不正アクセスから保護

2019年7月、IoTセキュリティ企業のArmis Inc.は、Wind River社製のリアルタイムオペレーティングシステムVxWorksの11個のゼロデイ脆弱性を発見したと表明しました。この脆弱性は多数の産業用オートメーションコンポーネントに影響します。mGuardセキュリティコンポーネントを使用して、ネットワークを保護できます。

VxWorksとは

VxWorksは非常に広く使用されているリアルタイムオペレーティングシステムで、20憶を超える機器で使用されています。典型的なアプリケーション分野としては、航空宇宙および防衛産業、機械コントローラ、医療機器、ネットワークインフラなどがあります。

URGENT/11

マルウェアを機器間で拡散可能  

11個の脆弱性によりネットワーク内にマルウェアを拡散可能

URGENT/11とは、VxWorksのTCP/IPスタック(IPnet)に影響する11個の脆弱性のことで、一部は13年にわたって検出されていませんでした。これは非常に多くのVxWorksバージョンに影響することを意味しています。脆弱性のうちの6個は致命的に分類され、その他の5個は情報漏洩または論理エラーに分類されています。

この脆弱性により、攻撃者はユーザーが介入することなく機器をリモートで制御して、マルウェアをネットワーク内に伝播できるようになります。攻撃者はファイアウォールおよびNATソリューションを回避できます。このような攻撃はEternalBlue脆弱性と同様です。これはWannaCryマルウェアの拡散に使用されました。標的になる可能性があるのは、SCADAシステム、産業用コントローラ、ファイアウォール、ルーター、プリンタ、さらにはMRI機器などがあります。

攻撃のシナリオ

一般に、ネットワーク内の機器の場所と攻撃者の位置によって、これら3種類の攻撃は区別されます。しかし、3つすべてのシナリオで、攻撃者はユーザーの介入なしに標的の機器をリモートで完全に制御できます。

最初のシナリオは、ファイアウォールなどのネットワーク防御に対する攻撃です。しかし、これらのファイアウォールがVxWorksを使用している場合、URGENT/11の脆弱性により攻撃者はこれらの機器と、機器によって保護されている機器に直接攻撃を仕掛けることができます。

2つ目のシナリオは、外部ネットワーク接続経由の攻撃に関するものです。URGENT/11の脆弱性により、ファイアウォールまたはNATソリューションにかかわらず、このタイプの接続で機器を乗っ取ることができます。

3つ目のシナリオでは、攻撃者はネットワーク内から攻撃を行います。攻撃者がすでにネットワーク内にいる限り(例えば、シナリオ1または2のような事前の攻撃の結果)、URGENT/11の脆弱性によって、攻撃者はユーザーが介入する必要なく機器を完全に乗っ取ることができます。つまり、攻撃者は悪意のあるパケットをネットワーク全体にブロードキャストすることが可能で、そのため生産施設内のすべての機器に一度に侵入できます。これにより、例えば生産ライン全体を支配したり、生産を完全に停止させることさえ可能です。

対策

フエニックス・コンタクトのmGuardセキュリティルーター  

mGuardセキュリティコンポーネントはネットワークを保護

一般に、VxWorksを実行しているすべての機器を更新することは困難で、場合によっては不可能です。まず、すべてのVxWorks機器を特定する必要があり、それ自体困難なタスクです。さらに、すべての機器で更新が利用可能であるとは限りません。更新が利用可能な場合でも、インストールには危険が伴い時間がかかることがあります。また、その後にシステムが想定どおりに機能しなくなる危険を冒すことになります。

例えば、ネットワークを既知のリスクから保護するmGuardセキュリティルータなどの個別セキュリティコンポーネントをインストールする方が、はるかに簡単なソリューションです。mGuardはUrgentフラグを含むすべてのTCPパッケージをブロックする機能を備えています。mGuardセキュリティルータで、この機能およびその他のセキュリティ設定をアクティブにすることにより、6つすべての致命的な脆弱性からVxWorks機器を包括的に保護することができます。さらに、mGuardはLAN内でもステルスモードで運用されているかのように、同様の保護を実現します。URGENT/11の脆弱性から保護するためのmGuardセキュリティルーターの設定の詳細情報が、次のホワイトペーパーにあります。

これが自分に該当するか不明な場合や、実装に関してサポートが必要な場合は、お問い合わせ下さい。当社の専門家がネットワークをチェックして、お客様の要件に合わせてシステムの個別セキュリティコンセプトを設計します。

mGuardの詳細は、次のリンクをクリックしてください。

詳細情報

ホワイトペーパーをダウンロードするか、お問い合わせください。

フエニックス・コンタクト株式会社

〒222-0033
神奈川県横浜市港北区新横浜1-7-9
友泉新横浜一丁目ビル6階