Language
広範囲にわたる新たなIoT侵害は数百万のロジックコントローラーチップに影響を与える可能性がある
ホームページホームページ > ブログ > 広範囲にわたる新たなIoT侵害は数百万のロジックコントローラーチップに影響を与える可能性がある
最新ニュース

広範囲にわたる新たなIoT侵害は数百万のロジックコントローラーチップに影響を与える可能性がある

Nov 06, 2023

2023年8月15日12:05 EDT更新

デヴィッド・ストロム著

Microsoft のセキュリティ研究者 Vladimir Tokarev は、Codesys と呼ばれる産業用モノのインターネット自動化ソフトウェアに対する興味深い攻撃を実証しました。

トカレフ氏は先週、ラスベガスで開催された年次BlackHatセキュリティカンファレンスでこのエクスプロイトを披露し、ミニチュアのエレベーターモデルを使用して、攻撃によってどのようにエレベーターの運転台がクラッシュするかを実証した。 このソフトウェア、そしてさらに重要なことに、そのソフトウェア開発キットは、信号機や水処理プラントから商業ビル運営の自動化やエネルギー パイプラインに至るまで、あらゆるものを実行する何百万ものプログラマブル ロジック コントローラーまたは PLC チップで広く使用されています。

昨年 9 月、トカレフ氏は 16 個の脆弱性を発見し、総称して CoDe16 と呼んでいます。 これらは、リモート コード実行とサービス拒否技術の両方を使用して PLC を制御し、攻撃者がマルウェアを挿入できるようにします。

「Codesysは多くのベンダーによって使用されているため、複数の脆弱性は言うまでもなく、1つの脆弱性が多くのセクター、デバイスタイプ、業種に影響を与える可能性があります」と同氏は調査を説明したブログ投稿で述べた。 Microsoft Corp.は、このソフトウェアが500社以上のメーカーが製造する1,000種類のデバイスで使用されていると推定している。

Codesys の脆弱性はこれが初めてではありません。 昨年 11 月、Forescout の研究者は、ソフトウェアの論理プロセスに影響を与える別の問題を発見しました。

トカレフ氏は、企業がリスクのあるコンポーネントを特定するために使用できるツールとともに、他の人が調べられるように分析とコードを GitHub に投稿しました。 Codesys フレームワークは、独自のネットワーク プロトコルと特別な TCP/IP ポート番号を使用しており、その動作を理解し、これらの脆弱性を発見するには、リバース エンジニアリングが必要でした。

攻撃の多くはバッファ オーバーフロー状態を利用しました。 トカレフは仕事でさまざまな機材を組み立て、会議の参加者に次の写真を見せました。

Codesys には、Windows ベースの管理ソフトウェアとテスト目的で使用されるシミュレーターが付属しています。 同氏はカンファレンスセッションで、「人気があり、世界中で広く使用されているため、非常に興味深い重要な攻撃ベクトルであり、保護し、軽減する必要がある」と述べた。

c.3.5.19.0 より前の Codesys バージョンは、発見された脆弱性に対して脆弱であるため、ユーザーはこのリンクを使用してファームウェアをアップグレードする必要があります。 Microsoft は他にも、PLC を直接オンライン アクセスから隔離するためのネットワーク セグメンテーションや、デバイスにアクセスし、コンポーネントに変更を投稿できるユーザーを制限するための最小特権管理手法などの推奨事項を提供しています。

ありがとう

広範囲にわたる新たなIoT侵害は数百万のロジックコントローラーチップに影響を与える可能性がある

MongoDB、開発者向けにデータのプライバシーとコンプライアンスを強化するデータ暗号化技術を公開

新しいレポートによると、フィッシングは増加傾向にあり、さらに巧妙化している

Nutanix は AI 開発へのクイックスタート アプローチを提供します

Dialpad は自社のコールセンター スイート全体に生成 AI を統合

フルスタック可観測性のスタートアップ Highlight が 800 万ドルの資金でローンチ

広範囲にわたる新たなIoT侵害は数百万のロジックコントローラーチップに影響を与える可能性がある

セキュリティ - デビッド・ストローム著。 1分前

MongoDB、開発者向けにデータのプライバシーとコンプライアンスを強化するデータ暗号化技術を公開

ビッグデータ - ジョン・ファーリア著。 34分前

新しいレポートによると、フィッシングは増加傾向にあり、さらに巧妙化している

セキュリティ - デビッド・ストローム著。 3時間前

Nutanix は AI 開発へのクイックスタート アプローチを提供します

AI - ポール・ギリン著。 3時間前

Dialpad は自社のコールセンター スイート全体に生成 AI を統合

AI - ポール・ギリン著。 3時間前

フルスタック可観測性のスタートアップ Highlight が 800 万ドルの資金でローンチ

アプリ - MIKE WEATLEY 著。 3時間前