米国のサイバーセキュリティ機関 CISA は、重要なインフラストラクチャで使用されている Optigo Networks ONS-S8 アグリゲーション・スイッチ製品に、認証バイパスとリモート・コード実行を可能にする 2 つの重大な脆弱性があるとして警告を発している。
この脆弱性は、脆弱な認証の問題であり、パスワード要件の回避を可能にし、ユーザー入力検証の問題により、リモート・コード実行、任意のファイル・アップロード、ディレクトリ・トラバーサルにつながる可能性がある。
このデバイスは、世界中の重要なインフラや製造装置で使用されており、欠陥がリモートから悪用可能で、攻撃の複雑性が低いことを考慮すると、リスクは非常に高いと考えられます。
現在のところ、修正プログラムは提供されていないため、ユーザーはカナダのベンダーが提案する緩和策を適用することが推奨される。
最初の欠陥は、CVE-2024-41925 として追跡されており、 PHP のリモートファイルインクルージョン (RFI) の問題として分類されています。
攻撃者はこの脆弱性を利用し、ディレクトリトラバーサルや認証のバイパス、任意のリモートコードの実行を行う可能性があります。
つ目の問題は、CVE-2024-45367として追跡されているもので、認証メカニズムにおける不適切なパスワード検証の実施に起因する弱い認証の問題です。
これを悪用することで、攻撃者はスイッチの管理インターフェースに不正アクセスし、設定を変更したり、機密データにアクセスしたり、他のネットワークポイントに移動したりすることができる。
どちらの問題も Claroty Team82 によって発見され、CVSS v4 スコアは 9.3 で、クリティカルと評価されています。この脆弱性は、1.3.7 までのすべての ONS-S8 Spectra Aggregation Switch バージョンに影響します。
スイッチのセキュリティ確保
CISA は、これらの欠陥が積極的に悪用されている兆候を確認していないが、システム管理者は欠陥を軽減するために以下の対応を行うことを推奨する:
- ONS-S8 の管理トラフィックを専用の VLAN に配置することで分離し、通常のネットワーク・トラ フィックから切り離して露出を減らす。
- BMS コンピュータ上の専用 NIC を介してのみ OneView に接続し、OT ネットワーク管理用の安全な専用アクセスを確保する。
- ルーターファイアウォールを構成して特定のデバイスをホワイトリストに登録し、OneViewへのアクセスを許可されたシステムのみに制限し、不正アクセスを防止する。
- OneView へのすべての接続にセキュアな VPN を使用して、暗号化通信を確保し、傍受の可能性から保護する。
- リスクアセスメントを実施し、レイヤードセキュリティ(深層防御)を実装し、ICS セキュリティのベストプラクティスを遵守することで、CISA のサイバーセキュリティガイダンスに従う。
CISA は、これらのデバイスで不審な動きを観察している組織は、侵害プロトコルに従い、インシデントをサイバーセキュリティ機関に報告し、追跡して他のインシデントと関連付けられるようにすることを推奨する。
Comments