Siemens子会社で産業用ネットワーク機器を手掛けるRuggedComの製品に脆弱性が報告されたとして、米国土安全保障省のICS-CERTが8月21日付でセキュリティ情報を公開した。
それによると、脆弱性はRuggedComの「Rugged Operating System」(ROS)におけるRSA SSL秘密鍵のハードコーディングに起因する。この問題を報告したセキュリティ研究者によれば、脆弱性を突かれた場合、RuggedComのスイッチとユーザー間のSSL通信に使われているRSA秘密PKI鍵が特定され、攻撃者がこの鍵を使って不正な通信を発生させることができてしまう恐れがある。
米セキュリティ機関のSANS Internet Storm Centerでも、この脆弱性のために本来セキュアであるべきSCADA機器の機密性、完全性、可用性が損なわれる可能性があると指摘している。
研究者はこの問題を実証するためのコンセプト実証(PoC)コードも公開しているという。
ICS-CERTでは現在、RuggedComに対して脆弱性の確認を求めるとともに、協力して対策に当たっている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR