Language
Weintek Weincloud の脆弱性により、ICS デバイスの操作や損傷が可能
ホームページホームページ > ニュース > Weintek Weincloud の脆弱性により、ICS デバイスの操作や損傷が可能
最新ニュース

Weintek Weincloud の脆弱性により、ICS デバイスの操作や損傷が可能

Nov 18, 2023

Weintek Weincloud で見つかったいくつかの脆弱性により、ハッカーが PLC やフィールド デバイスを含む ICS を操作し、損害を与える可能性がありました。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

産業用サイバーセキュリティ企業 TXOne Networks の研究者によって発見された Weintek 製品のいくつかの脆弱性は、産業用制御システム (ICS) を操作して損害を与えるために悪用された可能性があります。

このセキュリティ・ホールは、台湾に本拠を置くWeintekのWeincloudに影響を与える。Weincloudは、ヒューマン・マシン・インターフェース(HMI)と操作をリモートで管理するために設計されたクラウドベースの製品である。

CISA は最近、これらの脆弱性について組織に通知する勧告を発表しましたが、影響を受ける製品は世界中の組織、特に重要な製造部門で使用されています。

この脆弱性は Weintek によってアカウント API アップデートによって修正されており、ユーザーによるアクションは必要ありません。 欠陥を発見したとされるTXOne研究者のハンク・チェン氏は、SecurityWeekに対し、悪用はもはや可能ではないと認めた。

Weintek Weincloud では 4 種類のセキュリティ ホールが発見されており、そのうち 3 種類には「重大度高」の評価が割り当てられています。

そのうちの 1 つは、対応する JWT トークンを使用してアカウントのパスワードをリセットするために悪用された可能性があります。 別の問題を利用して、登録機能を悪用し、テスト用の資格情報で公式 Web サイトにログインした可能性があります。 3 番目の重大度の高い欠陥は、DoS 状態を引き起こすために使用される可能性があります。

4 番目の問題は「中程度の重大度」に分類されており、ブルートフォース攻撃に悪用された可能性があります。

Chen 氏は SecurityWeek に対し、特定の、しかし一般的に見られる状況下では、攻撃者が脆弱性を悪用して Weincloud インスタンスを完全に制御できた可能性があると語った。 これはクラウドベースの製品であるため、インターネットからのリモート悪用が可能でした。

「攻撃者は、HMI の制御を侵害されたアカウントから自分のアカウントに移すことができます。 HMI の制御を取得すると、HMI を操作して PLC (プログラマブル ロジック コントローラー) を制御し、フィールド デバイスに損害を与えることができます」と研究者は説明しました。

Chen 氏は、この種の脆弱性は Weintek 製品に特有のものではないと指摘しました。 TXOne の研究者は、同じ種類の攻撃に対して脆弱な他のクラウドベースの ICS 製品を特定しました。

TXOne は来月の DEF CON 31 の ICS Village で研究を発表します。

「私たちは、ICS ソリューションとアプリケーションがクラウドに移行する傾向が増加していることを強調したいと考えています。これにより、この [CISA] 勧告で取り上げられているものと同様のさまざまなセキュリティ上の懸念が生じます」とチェン氏は述べました。

関連している: TETRA 無線規格の脆弱性により軍事通信や産業システムが危険にさらされる可能性がある

関連している: Axis ドア コントローラーの脆弱性により施設が物理的、サイバー的な脅威にさらされる

関連している: 最近パッチが適用された GE Cimplicity の脆弱性、ロシアの ICS 攻撃を彷彿とさせる

Eduard Kovacs (@EduardKovacs) は、SecurityWeek の編集長です。 彼は、Softpedia のセキュリティ ニュース記者としてジャーナリズムのキャリアを開始する前に、高校の IT 教師として 2 年間働いていました。 エデュアルドは産業情報学の学士号と、電気工学に適用されるコンピュータ技術の修士号を取得しています。

SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。

ソフトウェア サプライ チェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。

今、良いこと、悪いこと、醜いことを徹底的に考えることは、私たちに「生き残るためのネガティブな焦点ではなく、繁栄するためのポジティブな焦点」を与えてくれるプロセスです。(マーク・ソロモン)