クラロティTeam82、シーメンスPLCの脆弱性を発見！深刻なセキュリティリスクを公開

クラロティTeam82、シーメンスPLCの脆弱性を発見！

イスラエル発のサイバーセキュリティ企業であるクラロティの専門チーム「Team82」は、シーメンス社の産業用制御システム（ICS）であるSIMATIC S7-1200/1500 PLCに深刻な脆弱性を発見しました。この脆弱性により、攻撃者はPLCを完全に制御することが可能となり、企業にとって大きなセキュリティリスクとなります。

脆弱性概要

Team82は、SIMATIC S7-1200/1500 PLCおよびTIAポータルに埋め込まれたハードコーディングされた暗号鍵を抽出する方法を発見しました。攻撃者は、この鍵を使用して、SIMATICデバイスと関連するTIAポータルに対して、4つのアクセスレベルの保護全てをバイパスしながら、複数の高度な攻撃を実行することができます。

この脆弱性により、悪意のある行為者は、SIMATIC S7-1200/1500製品群全体を修復不可能な状態に陥れる可能性があります。

シーメンス社は、この脆弱性に関する情報を受け、影響を受けるPLCおよびエンジニアリングワークステーション（EWS）の新バージョンを公開しました。また、CVE-2022-38465が割り当てられ、CVSS v3スコアは9.3と評価されています。

過去の研究から生まれた発見

Team82は、シーメンス社製SIMATIC PLCのセキュリティに関する研究を長年続けてきました。今回の発見は、過去の研究で得られた知見に基づいています。

10年近く前にシーメンス社は、TIAポータル v12とSIMATIC S7-1200/1500 PLC CPUファームウェア・ファミリーに非対称暗号を導入しました。これは、デバイスとユーザー・プログラムの整合性と機密性を確保し、産業環境におけるデバイス通信を保護するために行われたものです。

しかし、その後、技術の進歩やセキュリティ研究、脅威の急速な変化により、ハードコードされた暗号鍵は受け入れがたいリスクとなりました。悪意のある者がグローバルなハードコード暗号鍵を抜き取ることができれば、デバイス製品ライン全体のセキュリティが回復不能なほど損なわれる可能性があります。

CVE-2020-15782サンドボックス脱出

Team82は、シーメンス社のSIMATIC S7-1200およびS7-1500 PLC、ロックウェル・オートメーションのLogixコントローラ、Studio 5000 Logix Designerについて実施した前回の調査で、PLCのネイティブメモリ保護をバイパスし、リモートでコードを実行するための読み取りおよび書き込み権限を得ることができる脆弱性（CVE-2020-15782）を発見しました。

この脆弱性を活用することで、Team82はシーメンス社の製品ライン全体で使用されている内部および高度に保護された秘密鍵を抽出することに成功しました。これにより、プロトコルスタックの完全実装、保護された通信の暗号化/復号化、およびコンフィギュレーションを実行することが可能になりました。

シーメンス社の対応

シーメンス社は、Team82からの情報開示を受け、セキュリティ勧告の中で、既存の保護がもはや十分ではないことを認識し、ハードコードされた鍵を使用しない動的公開鍵基盤（PKI）の導入を進めています。

シーメンス社では、SIMATIC S7-1200およびS7-1500 PLCと対応するTIAポータルを最新バージョンに更新することを推奨しています。TIAポータルV17と関連するCPUファームウェア・バージョンには、機器ごとの個別パスワードに基づいて機密設定データを保護する新しいPKIシステム、およびTLSで保護されたPG/PCとHMI通信が含まれていると勧告しています。

クラロティについて

クラロティは、産業用制御システム（ICS）やモノのインターネット（IoT）のセキュリティを専門とするサイバーセキュリティ企業です。同社は、世界中の企業や組織に対して、ICSやIoTのセキュリティ対策を提供しています。

クラロティのプラットフォームは、包括的なセキュリティ管理を可能にするSaaS型のxDomeとオンプレミス型のCTD(Continuous Threat Detection)、安全なリモート接続を可能にするSRA(Secure Remote Access)、資産情報を素早く収集するEdgeの4つで構成される、統合的な産業用サイバーセキュリティソリューションです。