ロックウェル・オートメーションは、名前のないAdvanced Persistent Threat(APT)グループにリンクされた新たなリモートコード実行(RCE)エクスプロイトが、製造、電気、石油・ガス、液化天然ガス業界で一般的に使用されているパッチ未適用のControlLogix通信モジュールを標的にするために使用される可能性があると述べた。
同社は米国サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力して、APT攻撃者に関連するエクスプロイトを分析したが、入手方法はまだ明らかにしていない。
「ロックウェル・オートメーションは、米国政府と協力して、一部の通信モジュールに影響を与えるAdvance Persistent Threat(APT)攻撃者に起因する新たなエクスプロイト機能を分析した」と、ログイン後にのみアクセスできるセキュリティ勧告の中で同社は述べた。
「この機能を利用した現在の悪用は把握しておらず、意図的な被害は依然として不明です。」
この標的型脆弱性 (CVE-2023-3595 として追跡) は、境界外書き込みの脆弱性によって引き起こされ、攻撃者がリモートでコードを実行したり、悪意を持って作成された CIP メッセージを通じてサービス拒否状態を引き起こしたりする可能性があります。
悪用に成功すると、悪意のある攻撃者がモジュールのファームウェアを操作し、モジュールのメモリを消去し、モジュールとの間で送受信されるデータ トラフィックを変更し、永続的な制御を確立し、モジュールがサポートする産業プロセスに影響を与える可能性があります。
「これにより、重要なインフラを含め、脆弱なモジュールがインストールされている場所で破壊的な行為が行われる可能性がある」とロックウェル氏は付け加えた。
顧客は影響を受けるすべての製品にパッチを適用するよう要請
Rockwell は、影響を受けるすべての製品 (サポート終了製品を含む) に対してリリースしたセキュリティ パッチを適用することを強く推奨します。また、防御者がネットワーク内での悪用の試みを検出するのに役立つ検出ルールも提供します。
CISA はまた、ロックウェルの顧客に対し、潜在的な攻撃を阻止するために重大な RCE 脆弱性にパッチを適用するよう警告する勧告を発行しました。
「APTが所有する脆弱性を悪用前に知ることは、重要な産業部門にとって事前の防御を行う貴重な機会となる」と、APTエクスプロイトの分析も行った産業用サイバーセキュリティ企業Dragos は述べた。
Dragos の上級脅威アナリストである Kevin Woolf 氏は、「未知の APT が所有するエクスプロイトがあることはわかっていますが、実際にエクスプロイトが行われたことは見たことがありませんし、認識していません」と語った。
Dragos 氏によると、CVE-2023-3595 の脆弱性によって促進されるアクセスのレベルは、ロシアに関連するXENOTIME脅威グループによって悪用されたゼロデイと同様であり、このグループは、Schneider Electric Triconex ICS 機器に対してTRISIS (別名 TRITON) 破壊的マルウェアを使用しました。 2017年の攻撃。
「産業システムに関与したこれまでの脅威アクターのサイバー活動は、これらの機能が重要なインフラを標的にする目的で開発された可能性が高いことを示唆しており、被害者の範囲には海外の顧客も含まれる可能性がある」とロックウェル氏は警告した。
「脅威の活動は変化する可能性があり、影響を受ける製品を使用している顧客は、危険にさらされた場合に重大なリスクに直面する可能性があります。」
Comments