Forescout Research Labsは12月5日(米国時間)、「Forescout Vedere Labs discloses 21 new vulnerabilities affecting OT/IoT routers - Forescout」において、Sierra Wireless AirLink cellular routerおよび同製品で利用しているTinyXML、OpenNDSに21件の新しい脆弱性を発見したと報じた。Sierra Wireless AirLink cellular routerは、政府機関、商業施設、緊急サービス、エネルギ、輸送、上下水道システム、製造、医療などさまざまな重要インフラで人気のある製品で、8万6,000台以上がインターネットに公開されており、広範囲への影響が懸念されている。

  • Forescout Vedere Labs discloses 21 new vulnerabilities affecting OT/IoT routers - Forescout

    Forescout Vedere Labs discloses 21 new vulnerabilities affecting OT/IoT routers - Forescout

発見された脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。

  • ALEOS 4.17.0よりも前のバージョン
  • ALEOS 4.9.9よりも前のバージョン
  • OpenNDS 10.1.3よりも前のバージョン
  • TinyXMLのすべてのバージョン

脆弱性が修正されたとするプロダクトおよびバージョンは次のとおり。

  • ALEOS 4.17.0およびこれ以降のバージョン
  • ALEOS 4.9.9およびこれ以降のバージョン
  • OpenNDS 10.1.3およびこれ以降のバージョン

TinyXMLは開発を終了し、TinyXML2へプロジェクトを移行している。このため、このソフトウェアを利用している製品は製造メーカー自身によって対策を講じる必要がある。

発見された脆弱性の詳細は「(PDF) Sierra:21 Living on the Edge - Supply Chain Vulnerabilities in OT/IoT Routers」から確認できる。インターネットに公開されている当該のルータのうち、2019年以降に発見された脆弱性を修正しているデバイスは10%程度とされる。また、2万2,000台以上がデフォルトのSSL証明書を使用しており、中間者攻撃(MITM: Man-in-the-middle attack)の影響を受ける可能性があるとみられる。

これら脆弱性には、深刻度が緊急(Critical)とされているものが含まれており注意が必要。Forescout Research Labsはベンダーが提供する情報を確認し、必要に応じてアップデートすることを推奨している。また、Sierra Wireless AirLink cellular routerにおいては、次の追加の対策を実施することを推奨している。

  • デフォルトのSSL証明書を変更する
  • TelnetやSSHなど不要なサービスは無効にする。必要な場合はアクセス制限を設定する
  • 認証情報には一意でランダムに生成したものを使用する。TelnetやSSHを使用する場合は強力なパスワードを設定する
  • ワイドエリアネットワーク(WAN: Wide Area Network)上のACEManagerへのアクセスを無効にし、代替の管理プラットフォームを使用する。無効にできない場合は仮想プライベートネットワーク(VPN: Virtual Private Network)などの手段を使用してアクセスを制限する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)の導入を検討する
  • 運用・制御技術(OT: Operational Technology)、モノのインターネット(IoT: Internet of Things)に対応した侵入検知システム(IDS: Intrusion Detection System)の導入を検討する

発見された脆弱性は、資格情報の窃取、悪意のあるコードの実行、横方向の移動、サービス運用妨害(DoS: Denial of Service)などさまざまな影響があるとされる。このような攻撃を防止するために、該当するデバイスを運用している管理者には速やかな対策が望まれている。