医療機器、自動車、産業用システムに搭載されているシーメンス社の重要なソフトウェアライブラリに影響を与える13件の脆弱性があることがわかりました。
Forescout Research Labsは、Medigate Labsのサポートのもと、Nucleus TCP/IPスタックに影響を与える13の新しい脆弱性を発見しました。
この脆弱性を総称してNUCLEUS:13と呼んでいます。今回発見された脆弱性は、リモートコードの実行、サービス拒否、情報漏洩を可能にします。
Nucleusは、ヘルスケア分野の麻酔器や患者モニターなど、安全性が重視される機器に使用されています。フォレスキュート・リサーチ・ラボは、影響を受ける製品を特定するためにベンダーをサポートし、発見した内容をサイバーセキュリティ・コミュニティで共有することを約束します。
「NUCLEAUS:13」と名付けられたこの脆弱性は、シーメンスが所有するリアルタイムOS「Nucleus」に搭載されているTCP/IPスタック「Nucleus NET」に影響を与えます。
Nucleus NETは、医療機器、自動車、スマートフォン、Internet of Thingsデバイス、産業用PLCなどに搭載されているシステムオンチップ(SoC)ボードで動作します。
Forescout社とMedigate Labs社が発表したレポートによると、NUCLEUS:13の脆弱性は古いバージョンのNucleus RTOSを搭載した機器の乗っ取り、クラッシュ、情報漏洩などに利用される可能性があります。
研究者によると、これらの脆弱性の中でも最も悪質なものはCVE-2021-31886で、リモートコード実行(RCE)の問題であり、その深刻さから10点満点中9.8点という珍しい評価を受けています。
ICS-CERTは、米国の組織におけるNUCLEUS:13の脆弱性に対する認識を高めるためセキュリティアドバイザリを公開し、シーメンスはプライベートCERTポータルを通じて、すべての顧客にセキュリティアップデートを公開しました
また、Forescout社はNUCLEUS:13の脆弱性を悪用して脆弱な機器を乗っ取る方法を紹介する概念実証デモを公開しています。
動画の中でDashevskyiが指摘しているように、攻撃者は脆弱なデバイスに何らかのネットワーク接続があればよく、攻撃の実行には数秒しかかかりません。
NUCLEUS:13の脆弱性の詳細は以下の通りです
| CVE ID | 詳細 | 影響を受ける箇所 | 影響 | CVSSv3.1 Score |
|---|---|---|---|---|
| 2021-31344 | 偽のIPオプションを持つICMPエコーパケットは、ネットワーク上の任意のホストにICMPエコー応答メッセージを送信することができます。 | ICMP | Confused deputy | 5.3 |
| 2021-31345 | UDPペイロードの合計長(IPヘッダーで設定)がチェックされていません。これにより、UDPプロトコル上で動作するユーザー定義のアプリケーションによっては、情報漏えいやサービス拒否などの様々な副作用が発生する可能性があります。 | UDP | Application- dependent | 7.5 |
| 2021-31346 | IPヘッダに設定されているICMPペイロードの合計長がチェックされていません。これにより、メモリ上のネットワークバッファの構成によっては、情報漏えいやサービス拒否状態など、さまざまな副作用が発生する可能性があります。 | IP / ICMP | Information leak / DoS | 8.2 |
| 2021-31881 | DHCP OFFERメッセージを処理する際、クライアントアプリケーションがベンダーオプションの長さを検証しないため、Denial-of-Service(サービス拒否)状態に陥ることがあります。 | DHCP client | DoS | 7.1 |
| 2021-31882 | DHCPクライアントアプリケーションは、DHCP ACKパケットを処理する際に、ドメインネームサーバーIPオプション(0x06)の長さを検証しません。これにより、Denial-of-Service(サービス拒否)が発生する可能性があります。 | DHCP client | DoS | 6.5 |
| 2021-31883 | DHCPのACKメッセージを処理する際、クライアントアプリケーションがベンダーオプションの長さを検証しないため、Denial-of-Service(サービス拒否)状態に陥ることがあります。 | DHCP client | DoS | 7.1 |
| 2021-31884 | DHCPクライアントは、「ホスト名」オプションのデータがNULLで終端されていることを前提としています。グローバルなホスト名変数が定義されていない場合、これは境界外の読み書きやサービス拒否の原因となります。 | DHCP client | Application-dependent | 8.8 |
| 2021-31885 | TFTPサーバーアプリケーションでは、不正なTFTPコマンドを送信することで、TFTPメモリバッファの内容を読み取ることができます。 | TFTP server | Information leak | 7.5 |
| 2021-31886 | FTP サーバーが “USER” コマンドの長さを適切に検証しないため、スタックベースのバッファオーバーフローが発生します。これにより、サービス不能状態やリモートコード実行が発生する可能性があります。 | FTP server | RCE | 9.8 |
| 2021-31887 | FTP サーバーが「PWD/XPWD」コマンドの長さを適切に検証しないため、スタックベースのバッファオーバーフローが発生します。これにより、サービス不能状態やリモートコード実行が発生する可能性があります。 | FTP server | RCE | 8.8 |
| 2021-31888 | FTP サーバーが「MKD/XMKD」コマンドの長さを適切に検証しないため、スタックベースのバッファオーバーフローが発生します。これにより、サービス不能状態やリモートコード実行が発生する可能性があります。 | FTP server | RCE | 8.8 |
| 2021-31889 | SACKオプションが破損した不正なTCPパケットは、情報漏えいやサービス拒否の原因となります。 | TCP server | DoS | 7.5 |
| 2021-31890 | IPヘッダに設定されているTCPペイロードの合計長がチェックされていない。これにより、メモリ上のネットワークバッファの構成によっては、情報漏えいやサービス拒否など、さまざまな副作用が発生する可能性があります。 | TCP server | DoS | 7.5 |
これらの脆弱性への対策と緩和策
NUCLEUS:13から完全に保護するには、脆弱なバージョンのNucleusが動作する機器にパッチを適用する必要があります。
シーメンス社は公式にパッチをリリースしていますが、このソフトウェアを使用している機器ベンダーは、独自のアップデートを顧客に提供する必要があります。
組込み機器はミッションクリティカルなため、パッチの適用が難しいことが知られていますが、以下のような緩和策を推奨します。
Nucleusが稼働している機器を発見し、インベントリーを作成する。
Forescout Research Labsは、アクティブフィンガープリントを使用してNucleusを実行しているデバイスを検出するオープンソースのスクリプトを公開しています。このスクリプトは、私たちの研究の最新の開発状況に合わせて、新しいシグネチャで常に更新されています。
セグメンテーション制御を実施し、適切なネットワークハイジーンを行う
外部との通信経路を制限し、パッチが適用できない場合や適用できるようになるまでの間、脆弱性のあるデバイスをゾーン内に隔離または封じ込めることで、リスクを軽減する。
ベンダーからリリースされたパッチを監視し、ビジネスリスクと事業継続性の要件のバランスを取りながら、脆弱な資産のインベントリに対する修復計画を策定する
すべてのネットワークトラフィックを監視し、既知の脆弱性やゼロデイの可能性を利用しようとする悪意のあるパケットがないかを確認する。異常なトラフィックや不正なトラフィックはブロックするか、少なくともネットワークオペレータにその存在を警告する必要があります。
| CVE | 影響するコンポーネント | 対応策 |
| 2021-31885 2021-31886 2021-31887 2021-31888 | FTP / TFTP server | 必要のないFTP/TFTPは無効にするか、接続をホワイトリストに登録してください。 |
| 2021-31881 2021-31882 2021-31883 2021-31884 | DHCP client | スイッチベースのDHCP制御機構を使用する: プロトコルに対応したネットワークスイッチは、不正なサーバからの DHCP応答をブロックするように設定できます。また、ファイアウォールにも同様の機能を持たせることができます。最後の手段として、固定IPアドレスを使用する。 |
| 2021-31344 2021-31345 2021-31346 2021-31889 2021-31890 | TCP / UDP / IP / ICMP | トラフィックを監視し、不正なパケットをブロックする。脆弱なデバイスを適切に設定されたファイアウォールの内側に置くことで十分です。 |
Comments