CISAがVeeder-Rootの重大な脆弱性について警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Veeder-Root社のTLS4B自動タンクゲージシステムにおける重大なセキュリティ脆弱性について警告を発しました。2025年10月23日に発表されたこの警告は、攻撃者がこれらの欠陥を悪用して、特にエネルギー分野で世界的に使用されている産業用システムを制御する可能性があると指摘しています。

二つの重大な脆弱性が発見

セキュリティ研究者Bitsightによって、TLS4Bシステムに二つの危険な脆弱性が特定されました。

• CVE-2025-58428：コマンドインジェクション（CVSS v3.1スコア 9.4）
  この脆弱性は、コマンド内の特殊要素の不適切な無害化に関連しており、攻撃者がシステムに悪意のあるコードを注入することを可能にします。有効な認証情報を持つリモート攻撃者は、基盤となるLinuxシステム上でシステムレベルのコマンドを実行し、完全なシェルアクセスを取得してネットワーク内を undetected に移動する可能性があります。この脆弱性は、悪用が比較的低複雑度であり、システムのSOAPベースのWebサービスインターフェースを通じてインターネットからアクセス可能であるため、特に危険です。
• CVE-2025-55067：整数オーバーフロー/ラップアラウンド（CVSS v3.1スコア 7.1）
  この技術的な欠陥は、システムがUnix時間値を処理する方法に影響を与えます。システムクロックが2038年1月19日に達すると、1901年12月13日にリセットされます。この時間操作は、認証の失敗、ログインアクセスや漏洩検出などの重要なシステム機能の混乱、および管理者を完全にロックアウトするサービス拒否攻撃を引き起こす可能性があります。

影響を受けるシステムと対策

Veeder-Root TLS4B自動タンクゲージシステムは世界中で展開されており、特にエネルギー分野で普及しています。バージョン11.Aより前のすべてのバージョンがコマンドインジェクションの脆弱性の影響を受けます。

• CVE-2025-58428（コマンドインジェクション）：Veeder-Rootは、この脆弱性に対処するためにバージョン11.Aをリリースしました。組織は直ちにこのパッチ適用済みのバージョンにアップグレードする必要があります。
• CVE-2025-55067（整数オーバーフロー）：恒久的な修正はまだ開発中であり、それまではVeeder-Rootが推奨するネットワークセキュリティのベストプラクティスに従うことが推奨されています。

CISAは、悪用リスクを最小限に抑えるための追加の防御策も提供しています。組織は、すべての制御システムデバイスのインターネット露出を最小限に抑え、ファイアウォールの背後に隔離し、ビジネスネットワークから分離する必要があります。リモートアクセスが必要な場合は、最新の更新が適用された仮想プライベートネットワーク（VPN）を使用することで、追加の保護が得られます。

緊急性と今後の展望

CISAによると、警告日現在、これらの脆弱性の既知の公開悪用は報告されていません。しかし、その高い深刻度スコアと悪用の容易さを考慮すると、組織はこれを緊急の課題として扱うべきです。専門家は、防御策を展開する前に、最小限の混乱を確実にするために影響分析を実施することを推奨しています。

元記事: https://gbhackers.com/cisa-alerts-on-critical-veeder-root-flaws/