背景
ビルディングオートメーションシステム(BAS)は、暖房、換気、空調、照明、セキュリティ、火災警報などのさまざまなビルディングシステムの集中管理と監視が可能なシステムです。BASは、センサー、デバイス、およびサービスからデータを収集・分析し、人工知能と機械学習を使用して、建物をプログラム可能にし、ユーザーとビル管理者のニーズに応えられるようにすることで、建物の性能、効率、快適性、およびセキュリティを向上させることができます。また、BASではPoE(Power over Ethernet)を使用して、1つのネットワークインフラストラクチャを通してさまざまなデバイスに電力を供給し、接続することもできます。BASには、運用コストやエネルギーコストの削減、優れた柔軟性、再販価値の向上、メンテナンスの自動化など、多くのメリットがあります。その一方で、BASは、プライバシーやデータの問題、設備投資、常時インターネット接続などの課題も抱えています。
LOYTECは、革新的なビルオートメーション製品とソリューションを専門とする企業です。同社はビル管理システム、ルームオートメーションシステム、オートメーションサーバー、I/Oコントローラ、ゲートウェイ、タッチパネル、照明コントロールシステム、ルーター、インターフェース、ソフトウェアツールなど、さまざまな製品を提供しています。
TXOne Networksの脅威リサーチチームは、2021年にLOYTEC製品の脆弱性を10件発見し、トレンドマイクロのZDI(Zero Day Initiative)およびICS-CERTを通じてこのベンダーに連絡を取りました。しかし、残念ながら返答がいただけなかったため、2年後にこれらの調査結果を公開することにしました。早急に修正プログラムまたは代替ソリューションが提供されることを心から願っています。
影響を受ける製品
TXOne の脅威リサーチチームは、ビルオートメーションで用いられるさまざまなデバイスに影響をおよぼす、セキュリティ上の脆弱性を複数発見しました。これらの脆弱性は、LINX-212、LINX-151、LIOB-586などのデバイスに存在します。これらは、さまざまなビル運用を管理するために特別に設計されたプログラマブルなオートメーションワークステーションです。さらに、この脆弱性はLVIS-3ME12-A1(タッチパネル)、LWEB-802(視覚化ツール)、L-INXコンフィギュレータ(構成ツール)にも影響をおよぼします。こうした脆弱性は、ビルの安全システムやアラームが作動しなくなる原因になるとされており、施設の安全やセキュリティを脅かす恐れがあるため、このようなデバイスをお使いの方にとってこれらのセキュリティ問題を意識しておくことは重要です。
- L-INX オートメーションサーバー:アラーム、スケジューリング、トレンド、メール通知、IEC 61131-3プログラマブルロジック、OPCサーバーなど、さまざまな機能を提供するプログラマブルなオートメーションステーションです。また、CEA-709(LonMark)、BACnet、KNX、Modbus、M-Bus、DALIなど、さまざまなビルディングシステムやプロトコルを統合することもできます。
- L-IOB I/O コントローラおよびモジュール:物理的な入出力によってLOYTECデバイスを拡張する、プログラマブルなオートメーションステーションおよびモジュールです。HVAC、照明、シェーディング、セキュリティ、火災報知器など、さまざまな用途に使用できます。また、CEA-709(LonMark)、BACnet、KNX、Modbus、M-Bus、DALIなど、さまざまなオープンプロトコルや標準にも対応しています。
- L-WEB ビル管理:これは分散型ビルオートメーションシステムを実行するための強力なソフトウェアです。建物の性能やエネルギー消費を視覚化、操作、監視、最適化することが可能になります。また、OPC UA、BACnet/WS、RESTful API、MQTTなどのさまざまなウェブサービスやインターフェースにも対応しています。
- L-INX コンフィギュレータ:L-INXオートメーションサーバー、L-IOB I/Oコントローラおよびモジュール、L-DALIコントローラ、L-GATEユニバーサルゲートウェイ、LIOB-AIRコントローラ、L-ROCルームコントローラなど、さまざまなLOYTECデバイスの構成とプログラミングを行うソフトウェアツールです。L-INXコンフィギュレータを使用すると、LOYTECデバイスのネットワーク変数、データポイント、スケジュール、アラーム、トレンド、ロジックプログラム、ウェブページを作成および編集できます。
表1:脆弱性リストと影響を受ける製品
| CVE ID | ベーススコア | CVSS v3.1 ベクトル | 影響を受ける製品 |
|---|---|---|---|
| CVE-2023-46380 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | · LINX-212 ファームウェア 6.2.4 · LVIS-3ME12-A1 ファームウェア 6.2.2 · LIOB-586 ファームウェア 6.2.3 |
| CVE-2023-46381 | 8.2 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L | |
| CVE-2023-46382 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| CVE-2023-46383 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | · L-INX コンフィギュレータ 7.4.10 |
| CVE-2023-46384 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| CVE-2023-46385 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| CVE-2023-46386 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | · LINX-151, ファームウェア 7.2.4 · LINX-212, ファームウェア 6.2.4 |
| CVE-2023-46387 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| CVE-2023-46388 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| CVE-2023-46389 | 7.5 高 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
脆弱性について
当社の調査によると、CVE-2023-46380、CVE-2023-46382、CVE-2023-46383、CVE-2023-46385などの脆弱性で、平文のパスワードなどの機密データが読み取れるようになってしまいます。ただし、これらの脆弱性を悪用するには、ネットワーク上で中間者(MitM:Man-in-the-Middle)攻撃を行う必要があります。CVE-2023-46382は、技術的なスキルがなくても悪用できるため、特に注意が必要です。もしプリインストールされたLWEB-802のウェブユーザーインターフェースがオンラインで公開されれば、誰でも簡単にアクセスし、制御できてしまいます。当社では、これらのインターフェースの一部がオンラインで公開されていることを発見しました。
CVE-2023-46387およびCVE-2023-46389の場合、攻撃者が管理者レベルのアクセス権を取得すると、アラームやレポート機能に使用されるSMTPクライアントの認証情報を格納したファイルを簡単に取得できてしまいます。
CVE-2023-46384は、LINXコンフィギュレータがインストールされたコンピュータへのローカルアクセスを必要とするため、シナリオが異なります。そのようなコンピュータにローカルアクセスできる人は誰でも、パスワードを盗むことができるようになります。
それぞれの脆弱性の詳細は以下のとおりです。
CVE-2023-46380:脆弱な権限管理
LOYTECデバイスのウェブインターフェース上のパスワード変更リクエストがHTTP経由で、平文で送信されるため、ネットワークスニッフィングによる情報窃取やアカウント乗っ取りが可能です。
CVE-2023-46381:不適切なアクセス制御
LWEB-802のプリインストールバージョンのウェブユーザーインターフェースには、認証機能がありません。そのため、デバイスにプロジェクトがある場合、認証されていないユーザーがウェブ上で新しいプロジェクトを作成し、グラフィカルインターフェースにアクセスし制御できてしまいます。また、認証されていないユーザーが現在のウェブプロジェクトの編集や削除、設定変更やシステムログの削除などを行うことができます。
http://{IP}:{port}/lweb802_pre/
CVE-2023-46382:脆弱な権限管理
Loytecのデバイスのウェブユーザーインターフェースでは、重要な情報(データ、コミッション、構成など)にアクセスするにはログイン認証情報が必要ですが、ユーザー名とパスワードの情報はHTTPで、平文で送信されます。そのため、ネットワークトラフィックをスニッフィングするだけで、簡単に認証情報を盗むことができます。
CVE-2023-46383:脆弱な権限管理
Loytec LINXコンフィギュレータは、管理者の認証情報を使用してLoytecのデバイスに接続し、デバイス設定を行うことができます。その際、HTTP Basic認証を使用しており、ユーザー名とパスワードをBase64エンコードされた平文で送信するため、ネットワークトラフィックをスニッフィングすれば誰でも簡単に認証情報を盗むことができます。管理者パスワードを入手した攻撃者は、LINXコンフィギュレータを介してLoytecのデバイスに接続し、制御できる状態になります。
CVE-2023-46384:脆弱な権限管理
以下のレジストリキーには、最近接続されたLoytecのデバイスの管理者パスワードがハードコードされた平文で格納されています。(パスワードキャッシュ)攻撃者がこのレジストリキーの値の取得に成功した場合、攻撃者は LINXコンフィギュレータ経由でLoytecのデバイスに接続し、制御することが可能になります。
キー: Computer\HKEY_CURRENT_USER\SOFTWARE\LOYTEC\LOYTEC LINX Configurator\OhioIni
値の名称:ftp_pass
値データ:<管理者のパスワード>
CVE-2023-46385:脆弱な権限管理
Loytec LINXコンフィギュレータがデバイスに接続する際には、ログインするためのHTTP GETリクエストを送信します。その際、平文のパスワードがURLパラメータとして、「パスワード(そのままの表記)」と十分な保護を行わずに渡されるため、ネットワークトラフィックをスニッフィングすれば簡単に認証情報を盗むことができてしまいます。管理者パスワードを入手した攻撃者は、LINXコンフィギュレータを介してLoytecのデバイスに接続し、制御できる状態になります。
http://{IP}:{port}/webui/config/system?username=admin&password=<admin password>&login=Login
CVE-2023-46386:脆弱な権限管理
「registry.xml」ファイルには、SMTPクライアントアカウントのハードコードされた平文の認証情報が含まれています。そのため、攻撃者が registry.xml ファイルの取得に成功すると、メールアカウントが侵害される可能性があります。パスワードは暗号化する必要があります。
CVE-2023-46387:不適切なアクセス制御
ファイルダウンロードAPIを経由して、「/var/lib/lgtw/dpal_config.zml」ファイルにアクセスできます。「dpal_config.zml」から抽出された「dpal_config.wbx」には、SMTPクライアント情報などの機密性の高い設定情報が含まれています。この脆弱性を悪用するには認証が必要です。
http://{IP}:{port}/DT?filename=/var/lib/lgtw/dpal_config.zml
CVE-2023-46388:脆弱な権限管理
「dpal_config.wbx」ファイルには、SMTPクライアントアカウントのハードコードされた平文の認証情報が含まれています。そのため、攻撃者が dpal_config.zml ファイルの取得に成功すると、メールアカウントが侵害される可能性があります。パスワードは暗号化する必要があります。
CVE-2023-46389:不適切なアクセス制御
ファイルダウンロードAPIを経由して、「/tmp/registry.xml」ファイルにアクセスできます。「registry.xml」には、SMTPクライアント情報などの機密情報を含むデバイス設定情報が含まれています。この脆弱性を悪用するには認証が必要です。
http://{IP}:{port}/DT?filename=/tmp/registry.xml
軽減策
TXOne Networksでは、すべての製品に、潜在的な攻撃からデバイスを保護するために、このような脆弱性に対する最新のシグネチャルールを組み込んでいます。また、以下にそのルールを記載します。
- 1234018 ICS LOYTEC LINX-212/LVIS-3ME12-A1/LIOB-586 ウェブユーザーインターフェースの不適切な認証 (CVE-2023-46381) state 1-F/Flow
- 1234114 ICS Loytec L-INX オートメーションサーバーの情報暴露 (CVE-2023-46387)
- 1234114 ICS Loytec L-INX オートメーションサーバーの情報暴露 (CVE-2023-46389)
