マイクロソフト、数十のIoT OSに甚大な脆弱性(CVSS v3 9.8)

マイクロソフトは、商業、医療、運用技術などに幅広く使用されているIOTデバイスのOSに、複数のメモリ割り当ておよびリモートコード実行の脆弱性があることを発表。

Microsoft Security Response CenterのIoTセキュリティチームによると、この脆弱性は、Amazon、ARM、Google Cloud、Samsung、RedHat、Apacheなど、10以上の組織が製造する少なくとも25種類の製品に影響を与えるとしている。現時点では、これらの脆弱性を利用したエクスプロイトは確認されていないが、広い範囲の被害が想定される

サイバーセキュリティ・インフラストラクチャセキュリティ機構(the Cybersecurity and Infrastructure Security Agency)がまとめた資料によると、影響を受ける製品のうち17製品はすでにパッチが提供されており、残りの製品はアップデートが予定されているか、ベンダーのサポートが終了しているためパッチが提供されないとのこと。影響を受ける製品の一覧とパッチの有無については、下記URLを参照してほしい

ICS Advisory (ICSA-21-119-04)

影響範囲(CVSS v3 9.8)

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0
  • ARM CMSIS-RTOS2, versions prior to 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions prior to 2.4.0
  • Media Tek LinkIt SDK, versions prior to 4.6.1
  • Micrium OS, Versions 5.10.1 and prior
  • Micrium uCOS II/uCOS III Versions 1.39.0 and prior
  • NXP MCUXpresso SDK, versions prior to 2.8.2
  • NXP MQX, Versions 5.1 and prior
  • Redhat newlib, versions prior to 4.0.0
  • RIOT OS, Version 2020.01.1
  • Samsung Tizen RT RTOS, versions prior 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions prior to 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
  • Uclibc-NG, versions prior to 1.0.36
  • Windriver VxWorks, prior to 7.0

パッチが提供されていないものの場合は、ネットワーク分離、システムへの不必要な接続の除外、多要素認証を備えたVPNの使用、既存の自動ネットワーク検出ツールなどによる悪意のある活動を監視などを実装するように推奨している。

国防省研究工学担当次官室のプログラムマネージャーであるキース・グレンバンは、「”より小さく、より速く、より安く”と”安全性”とはあまり両立できないことが問題である」と語っている。

製品を世に送り出そうとしている新興企業を想像してみるとベンチャーキャピタルが投資収益率を気にしている中で製品の安全性を確保するために、製品のリリースを6ヶ月遅らせることに同意するかは疑問であり、このようなIOTデバイスは追跡が難しいことでも知られているため、多くの組織で不正な接続デバイスが少なくとも数台はネットワーク上に潜んでいてパッチも当てられないままになっている。

トリニティ・サイバー社の脅威分析担当副社長であるジェレミー・ブラウンは、このようなデバイスを検出して見つけ出し、電源を切ったり、適切なパッチを適用したりすることができる企業やソリューションに「将来的に大きな未来がある」と述べている。

インターネットに接続している医療施設や企業、重要なインフラを支えるハードウェアや機械であるオペレーション・テクノロジー・デバイスは、その課題が通常の企業とは大きく異なっている。パッチやアップデートには技術的な障害が伴うことが多く、ダウンタイムが発生すると、医療、電力、水、その他の重要なサービスの提供に、より直接的で深刻な影響を及ぼす可能性がある。

301 Moved Permanently

コメント

タイトルとURLをコピーしました