11月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
制御システム製品
GE Cimplicity、Advantech/Broadwin WebAccess、Siemens WinCCなどのHMI(Human Machine Interface)製品を対象とした侵害活動が報告されています。ICS-CERTによれば、GE Cimplicityの場合、2012年1月頃から侵害活動が発生していた痕跡と、任意のコード実行を許してしまう脆弱性(CVE-2014-0751)が悪用されていた痕跡について報告しています。脆弱性(CVE-2014-0751)は、2014年1月23日に発行されたアドバイザリーICSA-14-023-01: GE Proficy Multiple Vulnerabilitiesで報告されたものです。
- ICS-CERT:ICS-ALERT-14-281-01: Ongoing Sophisticated Malware Campaign Compromising ICS(Update A)
- トレンドマイクロ:サイバー攻撃「Sandworm」が「Blacken」へ誘導。産業制御システムが標的?
■Meinberg Radio ClocksのLANTIME Mシリーズ(2014/10/30)
Meinberg Radio Clocks(meinbergglobal.com)のNTPサーバー製品であるLANTIME MシリーズのWebインタフェースには、クロスサイトスクリプティングの脆弱性(CVE-2014-5417)が存在します。
■AccuenergyのAcuvim II AXN-NET Ethernetモジュール(2014/10/30)
Accuenergy(accuenergy.com)の多機能型の電力計Acuvim IIシリーズのAXN-NET Ethernetモジュールには、不正なURLアクセスによりWebサーバーの認証機構の迂回を許してしまう脆弱性(CVE-2014-2373)と、パスワードの検証にJavaScriptを使用していることに起因してパスワード情報の漏洩を許してしまう脆弱性(CVE-2014-2374)が存在します。いずれの脆弱性を悪用したとしても、攻撃者はAXM-NET Ethernetモジュールのネットワーク設定しか操作できません。
■NordexのNC2:CVE番号割当(2014/10/30)
2013年10月に報告されたNordex(nordex-online.com)の風力発電用SCADA/HMI製品であるNordex Control 2(NC2)Wind Farm Portalの続報です。クロスサイトスクリプティングの脆弱性(CVE-2014-5408)にCVE番号が割り当てられました。
- ICS-CERT:ICSA-14-303-01: Nordex NC2 XSS Vulnerability
- ICS-CERT:ICS-ALERT-13-304-01: Nordex NC2 Cross-Site Scripting Vulnerability