ニュース
RuggedComの産業制御用製品に脆弱性、米機関がセキュリティ情報を公開
RuggedComのスイッチとユーザー間のSSL通信に使われているRSA秘密PKI鍵が特定され、攻撃者がこの鍵を使って不正な通信を発生させることができてしまう恐れがある。
Siemens子会社で産業用ネットワーク機器を手掛けるRuggedComの製品に脆弱性が報告されたとして、米国土安全保障省のICS-CERTが8月21日付でセキュリティ情報を公開した。
それによると、脆弱性はRuggedComの「Rugged Operating System」(ROS)におけるRSA SSL秘密鍵のハードコーディングに起因する。この問題を報告したセキュリティ研究者によれば、脆弱性を突かれた場合、RuggedComのスイッチとユーザー間のSSL通信に使われているRSA秘密PKI鍵が特定され、攻撃者がこの鍵を使って不正な通信を発生させることができてしまう恐れがある。
米セキュリティ機関のSANS Internet Storm Centerでも、この脆弱性のために本来セキュアであるべきSCADA機器の機密性、完全性、可用性が損なわれる可能性があると指摘している。
研究者はこの問題を実証するためのコンセプト実証(PoC)コードも公開しているという。
ICS-CERTでは現在、RuggedComに対して脆弱性の確認を求めるとともに、協力して対策に当たっている。
関連記事
- Tridiumの産業用ソフト「Niagara AX Frameworka」に脆弱性、情報流出の恐れ
- インフラ制御システム狙う攻撃が3年間で激増、米ICS-CERT報告書
- サイバー攻撃の脅威にさらされる基幹インフラ、米研究機関らが警鐘
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.