SCADAシステムにDoS脆弱性、運用可用性に影響

Mitsubishi Electric Iconics Suiteは、自動車、エネルギー、製造業など、幅広い産業分野で利用されている重要なSCADA（Supervisory Control and Data Acquisition）システムです。このシステムに、CVE-2025-0921として追跡される脆弱性が発見されました。CVSSスコアは6.5（中程度）で、攻撃者が対象システム上でサービス拒否（DoS）状態を引き起こし、運用可用性を損なう可能性があります。

脆弱性の詳細

この脆弱性は、Iconics SuiteのAlarmWorX64 MMX Pager Agentコンポーネントにおける「不必要な特権での実行」に起因します。Paloalto Networkの報告によると、攻撃者はローカルの非管理者アクセス権限で、特権ファイルシステム操作を悪用できます。

具体的には、攻撃者はIcoSetup64.iniファイルに保存されているSMSLogFile設定パスを操作することが可能です。これにより、重要なシステムバイナリの改ざんやシステム破損を引き起こし、産業用制御システムを動作不能に陥れる恐れがあります。

攻撃手法

概念実証デモンストレーションでは、非特権アクセスを持つ攻撃者がSMSログ操作をリダイレクトして、システムのブートプロセスに不可欠な暗号化サービスを提供するWindowsドライバーであるcng.sysを上書きできることが示されました。攻撃者は、設定されたSMSLogFileパスからC:\Windows\System32\cng.sysへのシンボリックリンクを作成します。その後、SMSアラート操作が行われると、有効なバイナリコードではなくログデータでcng.sysドライバーが破損します。

システム再起動時、Windowsは破損したドライバーをロードしようと試み、その結果、ブート失敗と無限の修復ループが発生し、永続的なDoS状態が引き起こされます。この攻撃は、GenBroker32インストーラーの個別の脆弱性であるCVE-2024-7587と組み合わせることで、さらに効果的になります。CVE-2024-7587は、C:\ProgramData\ICONICSディレクトリに過剰なファイルパーミッションを付与し、任意のローカルユーザーが管理者権限でのみ変更されるべき設定ファイルを変更できるようにします。

対策と推奨事項

Mitsubishi Electricは、CVE-2025-0921に対するセキュリティアドバイザリを公開し、対策を講じています。システム管理者は、推奨される回避策を直ちに適用し、Iconics Suiteの評価で特定されたすべての脆弱性に対処する必要があります。

Iconics Suiteバージョン10.97.2以前を運用している産業組織は、パッチ適用とベンダー推奨のセキュリティ管理策の実施を優先すべきです。この脆弱性は、運用技術（OT）環境において、運用可用性が最優先される場合に、適切なアクセス制御と特権管理が極めて重要であることを浮き彫りにしています。

元記事: https://gbhackers.com/scada-flaw-enables-dos-condition/