三菱電機製空調管理システムに複数の脆弱性

こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月9日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説
・発見された脆弱性「XML外部実体参照」と「認証アルゴリズムの不適切な実装」を解説
・組み込み機器の脆弱性は個人宅でも確認を

今回の解説ニュース

三菱電機製空調管理システムに複数の脆弱性 | ScanNetSecurity

空調管理システムに複数の脆弱性が発見されました。対策として、アップデートを適用するか、悪意のある第三者が空調管理システムへアクセスできないように制限することが必要です。空調管理システムをはじめとする組み込み機器のセキュリティ対策について説明します。

発見された脆弱性の1件目は「XML外部実体参照」に関する脆弱性で、悪意のある第三者がリモートから機器内部情報を取得したり、機器が使えない状態にできる可能性があるということです。

2件目は「認証アルゴリズムの不適切な実装」に関する脆弱性で、空調管理システムのWeb画面にログインできる第三者が製品を管理者権限で操作することができ、空調管理システムの設定情報を取得されたり、空調機器の設定情報を改ざんされたりする可能性があるということです。

脆弱性に対策するためには、各製品および型番に対応したアップデートを適用することが必要です。また、何らかの理由でアップデートができない場合は、悪意のある第三者がアクセスできないように、信頼できるネットワークやVPN経由のアクセスに制限することや、アクセスする端末のセキュリティ対策を実施して、脆弱性の影響を軽減するよう呼びかけています。

発見された脆弱性「XML外部実体参照」と「認証アルゴリズムの不適切な実装」を解説

今回発見された脆弱性である「XML外部実体参照」と「認証アルゴリズムの不適切な実装」について、脆弱性の内容と考えられる被害について、あくまでも一般論として説明します。

XML外部実体参照
XML External Entityとも呼ばれXXEと略されます。主にWebアプリケーションで発生する脆弱性で、悪意のある第三者がXXEで攻撃することができるサーバがアクセスできるファイルを取得できる可能性があります。具体的には、XXEで攻撃できるサーバ内のシステム情報が保存されたファイルや、Webアプリケーションのソースコードなどが読み取られる可能性があります。

認証アルゴリズムの不適切な実装
これはそのまま、認証のアルゴリズムに問題があるということで、今回の空調管理システムですと「権限昇格」の問題があるということです。権限昇格の問題とは、Privileges Escalationとも呼ばれ、一般ユーザに与えられた権限が管理者など上位の権限を持つユーザに意図せず昇格してしまう脆弱性です。今回のようにアルゴリズムの問題や、管理者権限を持ったプログラムが乗っ取られることなどによって発生します。

その他のトピックはこちら

組み込み機器の脆弱性は、法人だけでなく個人でも確認することが必要です。理由として、社会の変化が影響していますので、その内容について説明します。

放送を聴かれるかたはこちら

記 にしもと