Kaspersky Lab ICS CERTのリサーチャーは、ソフトウェアをアクティベートするためのHASPライセンス管理システムで、複数の重大な脆弱性を発見しました。このテクノロジーは産業用制御システムで広く利用されており、影響を受けるシステムが世界中で数十万以上に上る可能性があります。
~ライセンス管理用トークンにより、隠れたリモートアクセスチャネルが攻撃者に対して解放される~
[本リリースは、2018年1月22日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Lab ICS CERTのリサーチャーは、ソフトウェアをアクティベートするためのHASP(Hardware Against Software Piracy)ライセンス管理システムで、複数の重大な脆弱性を発見しました。このテクノロジーは産業用制御システム(ICS)で広く利用されており、影響を受けるシステムが世界中で数十万以上に上る可能性があります。Kaspersky Labはこれらの脆弱性の発見時に、影響を受けるソフトウェア製造元に報告し、その後各社によってセキュリティパッチが提供されています。
問題となっているUSBトークンは、ソフトウェアライセンスを簡単にアクティベートするために、さまざまな組織で広く利用されています。使い方は次の通りです。システム管理者は、アクティベートする必要のあるソフトウェアがインストールされたコンピューターにUSBトークンを直接挿入することで、対象のソフトウェアが確かに正規のものであること(違法コピーではないこと)を確認し、アクティベートします。その後、ユーザーがこのソフトウェアを使用できるようになります。
USBトークンを初めてコンピューターやサーバーに接続すると、トークンが正常に動作するように、Windows OSが製造元のサーバーからソフトウェアのドライバーをダウンロードします。あるいは、ライセンスの保護のためにトークンを利用するサードパーティのソフトウェアによって、ドライバーがインストールされることもあります。ただし、ソフトウェアによってはインストール時に適切に通知することなく、コンピューターのポート1947を、Windowsファイアウォールの例外に追加することがあるため、ポート1947へのリモート攻撃が可能になることが、Kaspersky Labのリサーチャーの調査によって判明しました。
攻撃者は、標的にしたネットワーク上で、ポート1947が開かれているかどうかを探るだけで、遠隔操作可能なコンピューターを特定することができます。
さらに重要なのは、USBトークンを取り外した後も、このポート1947は開いたままの状態になるため、HASPソリューションを利用してソフトウェアをインストールするか、USBトークンをコンピューターに一度挿入するだけで、たとえロックされたコンピューターでも、そのコンピューターへのリモート攻撃が可能になるということです。
Kaspersky Lab ICS CERTのリサーチャーは、このソフトウェアソリューションの1つのコンポーネント内で、複数のDoS攻撃に対する脆弱性、複数のRCE(任意のコードのリモート実行)を含む14個の脆弱性を特定しました。これらの脆弱性は、ユーザー権限ではなく、強力な特権を持つシステム権限によって自動的に利用することができます。そのため攻撃者は、任意のコードを実行できるようになります。特定したすべての脆弱性は非常に危険性が高く、企業にとって多大な損失につながる可能性があります。
この情報はすでに製造元に報告しており、発見したすべての脆弱性に当社が以下のCVE番号を割り当てました。
- CVE-2017-11496 – リモートコード実行
- CVE-2017-11497 – リモートコード実行
- CVE-2017-11498 – サービス妨害攻撃(DoS)
- CVE-2017-12818 – サービス妨害攻撃(DoS)
- CVE-2017-12819 – NTLMハッシュ取り込み
- CVE-2017-12820 – サービス妨害攻撃(DoS)
- CVE-2017-12821 – リモートコード実行
- CVE-2017- 12822 – 設定ファイルを使用したリモート操作
Kaspersky Lab ICS CERTの脆弱性研究グループ責任者のウラジーミル・ダシュチェンコ(Vladimir Dashchenko)は次のように述べています。「このライセンス管理システムが広く普及していることを考慮すれば、非常に大きな問題が起こりえます。リモートアクセスに関する厳格なルールが定められた重要な設備でも、このUSBトークンが使用されているからです。この問題は、当社の調査によって、重要なネットワークが危険にさらされることが判明し、重要な設備でも簡単に破壊される恐れがあります」
Kaspersky Lab ICS CERTは、影響を受ける製品のユーザーに対して、以下のように対処することを強く推奨します。
- できる限り早く、セキュリティ対応された最新バージョンのドライバーをインストールするか、ドライバーの更新方法について製造元に問い合わせる。
- 少なくとも外部向けのファイアウォール(ネットワーク境界にあるファイアウォール)のポート1947を閉じる。ただし、ビジネスプロセスの妨げにならない場合に限る。
これらの脆弱性についての詳細は、Kaspersky Lab ICS CERTのWebサイトにあるブログ記事「A SILVER BULLET FOR THE ATTACKER. A STUDY INTO THE SECURITY OF HARDWARE LICENSE TOKENS」(英語)をご覧ください。
■ Kaspersky Lab ICS CERTについて
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team(Kaspersky Lab ICS CERT)は、Kaspersky Labが2016年に立ち上げたグローバルプロジェクトです。このプロジェクトは、オートメーションシステムの製造元、産業用設備のオーナーおよびオペレーター、ITセキュリティリサーチャーの取り組みを調整し、幅広い産業をサイバー攻撃から保護することを目的としています。Kaspersky Lab ICS CERTは、産業用オートメーションシステムやIndustrial Internet of Thingsを標的とする潜在的脅威や既存の脅威を特定することに主に尽力しています。ICS CERTチームはこの取り組みの初年度に、大手のグローバルICS製造元の製品に存在する、110を超える重大な脆弱性を特定しました。Kaspersky Lab ICS CERTは、幅広い産業のサイバー脅威からの保護について提言を行っている代表的な国際組織の会員およびパートナーとして積極的に活動しています。