脆弱性

SCADAシステムに存在する特権ファイルシステムの脆弱性

Clock Icon 2 分で読めます
Related Products
Cloud-Delivered Security Services iconCloud-Delivered Security ServicesNext-Generation Firewall iconNext-Generation Firewall

エグゼクティブ サマリー

本レポートでは、Iconics Suite で発見された脆弱性について詳述します。 CVE-2025-0921として追跡され、CVSS スコアは 6.5 です。Iconics Suiteは、監視制御およびデータ収集(SCADA)システムの名称である。このシステムは、自動車、エネルギー、製造業など、さまざまな産業における工業プロセスの制御と監視に使用されます。

2024年初頭、我々はアイコニックスイートの評価を実施し、5つの脆弱性を特定した。これらはマイクロソフト・ウィンドウズのバージョン10.97.2以前のものです。関連する脆弱性を発表した。本稿では、CVE-2025-0921の分析に集中します。

この脆弱性の悪用に成功すると、影響を受けるシステムにサービス拒否(DoS)状態が発生する可能性があります。その他の詳細は表1の概略のとおりです。

CVE識別子 脆弱性の説明 スコア評価
CVE-2025-52907: 三菱電機アイコニクスデジタルソリューションズ GENESIS64 の複数のサービスに、不要な特権で実行される脆弱性が存在 6.5 - 中程度

表1. CVE-2025-0921の詳細。

攻撃者は、Iconics Suiteの脆弱なバージョンを実行しているマシンにおいて、特権ファイルシステム操作を悪用して特権を昇格させ、重要なバイナリを破損させ、システムの完全性と可用性を損なう可能性があります。アイコニクスのセキュリティチームと調整し、この問題への対策を詳述したアドバイザリーを発表しました。この回避策を適用すれば、報告された脆弱性は取り除かれます。

パロアルトネットワークスのお客様は、以下の製品を通じて、本書で取り上げるツールに対します確実な保護を構築いただけます。

  • 産業用OTセキュリティは、パロアルトネットワークスの次世代ファイアウォール内で動作するセキュリティサービスを備えた、パロアルトネットワークスの運用技術(OT)ソリューションです。 次世代ファイアウォール(NGFW)で動作するセキュリティサービスです。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、Unit 42インシデント レスポンス チームまでご連絡ください。

Unit 42の関連トピック Vulnerabilities, Privilege Escalation, CVE-2025-0921

背景

以前の記事 以前の記事バージョン10.97.3以前のIconics Suiteで発見した5つの脆弱性について報告した。これらの脆弱性は、攻撃者が特権を昇格させ、最終的に脆弱なシステムを操作不能にする可能性がある。この調査に関連して、我々はさらに1つの問題を発見した。

脆弱性の背景を理解します

昇格した権限で実行されるプロセスは、特に、適切なアクセス制御なしに機密性の高いファイルやディレクトリとやりとりする場合、重大なセキュリティ・リスクとなる。これは特権ファイルシステム操作の脆弱性として知られている。

この種の脆弱性は、ファイルの作成、上書き、コピー、移動、削除などのファイルシステム操作を悪用する機会を攻撃者に与える可能性がある。これらの行為は、DoSや情報漏洩から完全なシステム侵害に至るまで、様々なセキュリティ上の結果をもたらす可能性がある。

CVE-2025-0921この脆弱性は、攻撃者が Iconics Suite の特権ファイルシステム操作を悪用して、重要なシステムバイナリを破損し、SCADA システムの可用性と完全性を破壊することを可能にします。この脆弱性はさまざまなシナリオで悪用される可能性がある。このデモでは、以前に確認された脆弱性 CVE-2024-7587を利用し、過剰なファイル・パーミッションを付与することで最適な攻撃環境を構築します。

CVE-2025-0921の完全な影響を実証するために、CVE-2024-7587(以前の研究で詳述)を含む脆弱性チェーンを使用します。 以前の研究).CVE-2024-7587 は GenBroker32インストーラーに影響し、C:\ProgramData\ICONICS ディレクトリに過剰なパーミッションが付与されるため、システム上の任意のユーザーが重要な設定ファイルを変更できるようになります。

Iconics Suiteにおいて、この特権ファイルシステム操作の脆弱性が見つかった。 ページャー・エージェントのコンポーネントである AlarmWorX64 MMX機能セットのコンポーネントであるAlarmWorX64 MMXは、工業プロセスを監視し、問題発生時に自動的にアラートを発しますアラーム管理システムです。

ページャー・エージェントを使用しますと、管理者は AlarmWorX64 MMX でカスタマイズしたトリガーとアクティビティ・アラートを設定できます。これらの警告は、Pager Agentの設定ユーティリティであるPagerCfg.exeを通じて管理されます。このユーティリティにより、管理者は、SMS、GSM、TAPなどの多種多様なページャー・サービスやプロトコルを介して配信されるアラートを設定することができます。

図1は、Windowsホスト上でPagerCfg.exeを実行したときに表示されるPager Agent設定ウィンドウを示しています。

画像はMMXPAGER TAP/SMSの設定ウィンドウです。TAPログファイル、TAPとSMSダイアログ、確認応答、ANSIモデム、SMSユニコードを有効にするためのチェックボックスとフィールドが含まれています。SNPPサーバーのホスト名、ポート(444に設定)、SNPPプロトコルレベル、ピン、パスワードの入力フィールドがあります。シャットダウンを許可するドロップダウンメニューのオプションもある。
図1.PagerCfg.exe実行時のページャーエージェント設定ウィンドウ。

SMS アラートを設定するために、管理者は図 1 に示す SMS Unicode ボタンを使用して SMS 設定ウィンドウを開くことができます。図 2 に SMS Unicode Configuration ウィンドウのパラメータを示します。

SMS Unicode 設定ウィンドウのスクリーンショット。これには、Device、Baudrate、Pin、Recipients、Body(70文字以内)、LogFileのフィールドが含まれる。"表示"、"SMS送信"、"OK "と書かれたボタンがある。モデムの動作には特定のボーレートが必要な場合があることが、下部の注意書きに記載されている。このバージョンは "登録版 "と表示されている。
図2.SMS Unicode Configuration ウィンドウ。

このSMSユニコード設定ウィンドウは、システム管理者がデバイス、ボーレート、受信者を選択し、警告メッセージ本文を作成することを可能にします。この設定ウィンドウには、テストSMSを送信するオプションもあります。

SMSコンフィギュレーションに加えて、PagerCfg.exeは、図2に示すように、管理者がSMSLogFileのパスを定義することを可能にします。管理者が SMSLogFile のパスを定義すると、アプリケーションは各 SMS 操作のログをこのファイルに書き込みます。

重要な設定ファイルの脆弱性

管理者がPagerCfg.exeを使用してページャーエージェントを設定した後、SMSLogFileのパスはC:\ProgramData\ICONICS\IcoSetup64.ini 設定ファイルに保存されます。通常のセキュリティ環境では、このコンフィギュレーション・ファイルは、特権を持たないユーザーによる変更から保護されています。しかし、GenBroker32がシステムにインストールされると、CVE-2024-7587が登場します。

GenBroker32は、Iconics ソフトウェア・スイートに含まれるレガシー通信ユーティリティです。 ​これは、異なる通信プロトコル間の変換により、古い産業用システムと新しいIconicsソフトウェアとの接続を支援するものです。GenBroker32のインストーラに存在します脆弱性(CVE-2024-7587)は、システム上の全てのユーザーに対して、C:\ProgramData\ICONICS ディレクトリへの完全な読み書きアクセスを許可し、IcoSetup64.ini設定ファイルを任意のローカルユーザーによって書き込み可能にしてしまいます。

図3は、GenBroker32インストーラーが変更したC:\ProgramData\ICONICSに対する、Iconics Suiteの中核的なHMI/SCADA可視化コンポーネントであるGraphWorX64の権限を示しています。

この画像は、Windowsのファイルエクスプローラーウィンドウで、コンピュータのC:ドライブにある「ICONICS」ディレクトリを開いた状態を示しています。左側に「ICONICS プロパティ」ダイアログボックスが表示され、許可設定が表示されます。右側に "GraphWorX64 by ICONICS, Inc "の "About "ウィンドウが開き、バージョン10.97と表示されている。ICONICS, Inc.」の住所と連絡先が、マイクロソフトパートナーのステータスを示すアイコンとともに表示されます。
図3. GraphWorX64のパーミッション。

脆弱性を利用

攻撃者がGenBroker32をインストールしたシステムへの非管理者アクセスを獲得するシナリオでは、攻撃者は設定ファイル内に含まれる任意の情報を操作することができる。これは特に、アプリケーションが SMS の活動をどこに記録するかを制御する SMSLogFile パスに該当します。

GenBroker32がインストールされたシステムにおいて、攻撃者は以下の手順でCVE-2025-0921を悪用し(CVE-2024-7587の過剰なパーミッションを利用し)、DoS攻撃を行う可能性があります。

ステップ1

非管理ユーザーとしてログインした場合、攻撃者はC:\ProgramData\ICONICSにあるIcoSetup64.iniファイルを検査することで、SMSLogFileのパスを発見できます。SMSLogFileのパスは、図4のようにC:\users\iconics_user\AppData\Local\Temp\logs\log.txtです。

スクリプトやコードを表示するメモ帳ウィンドウのスクリーンショット。テキストにはファイルパス、設定、コンフィギュレーションが含まれる。ファイルパス "C:\Users\CLOSES~1\Workspace\task\Temp\deploylog.txt"がハイライトされる。
図4. IcoSetup64.ini 設定ファイルで強調表示されている SMSLogFile パス。

ステップ2

攻撃者は、SMSLogFileの場所からターゲットとなるバイナリに対して、特別に細工したシンボリックリンク(symlink)を作成します。攻撃者は、このシンボリックリンクを作成するために管理者権限を必要としません。セキュリティ評価では、cng.sysをターゲット・バイナリとして選択済みです。その後、PagerCfg.exeはこのバイナリの内容を書き込みか上書きし、結果的にターゲットバイナリを破壊します。

cng.sys ドライバーは、Microsoft Cryptography API: Next Generation (CNG) で使用されます。CNG は、Windows システムコンポーネントにおける暗号化サービスを提供するものです。通常、cng.sys ドライバーは C:\Windows\System32\drivers ディレクトリに存在します。しかし、もし cng.sys がその親ディレクトリである C:\Windows\System32 に存在する場合、Windows は C:\Windows\System32\drivers からではなく、C:\Windows\System32 からドライバーファイルをロードしようとする可能性があります。

攻撃者が C:\Windows\System32\cng.sysに無効なドライバを作成したり、有効なドライバを破損したりすると、オペレーティングシステムが起動できなくなる。これは、Object ManagerのシンボリックリンクとNTFSマウントポイントを組み合わせて、管理者権限なしでファイルのシンボリックリンクを作成することで実現できます。

ステップ3

攻撃者はその後、管理者がSMS Unicode Configurationウィンドウからテストメッセージを送信するか、AlarmWorx MMXが自動的にアラートをトリガーするのを待ちます。

図 5 は、SMSlogFile パスを含む、セキュリティ評価中に使用した SMS Unicode 構成パラメータの例を示しています。

SMS Unicode 設定ウィンドウのスクリーンショット。Device(COM5)、Baudrate(38400)、Pin(1231a)、Recipients、Body(最大70文字)、LogFile path("C:\Users\ICONICS_USER\AppData\Local\Temp\log")のフィールドを含む。SMS送信、ログ閲覧、設定確認などのボタンがある。注意書きによると、モデムの動作には特定のボーレートが必要な場合がある。
図5.SMS Unicode Configuration ウィンドウ。

SMSが送信されると、この設定はそのロギング情報をC:\ProgramData\ICONICS\LogFiles\log.txt to C:\Windows\System32\cng.sys へのシンボリックリンクをたどるように指示し、ロギングデータを効果的にC:\Windows\System32\cng.sysにリダイレクトします。

変更されたcng.sysの内容には、期待されたバイナリの代わりにSMS情報のログデータが含まれるようになった。を使用してC:\Windows\System32\cng.sysを検査して確認しました。 CFFエクスプローラをテストすることで検証しました。

ファイル "cng.sys "のHex Editorタブを示すCFF Explorer VIIIソフトウェアのスクリーンショット。ウィンドウの左側に16進数、右側に対応するASCII文字が表示されます。
図6. エクスプロイトによって新しく作成されたcng.sysファイルのヘックスダンプ。

ステップ4

マシンを再起動すると、オペレーティング・システムはC:\Windows\System32\cng.sysをロードしようとします。しかし、新しく変更されたファイルは有効なドライバーではなく、ログファイルであるため、読み込み処理は失敗します。この障害は、図7に示すように、オペレーティング・システムが修復失敗モードで立ち往生する原因となります。

青いWindowsロゴが中央にある黒い画面。ロゴの下には "自動修理の準備中 "と書かれている。
図7. 破損したドライバによって引き起こされるエンドレスのWindowsブートループ。

DoS攻撃手法の要約:

  • 管理者権限を持たないローカルユーザーとしてログインした状態で、攻撃者はまず、管理者がIcoSetup64.iniファイルにあらかじめ設定したSMSLogFileのパスを特定します。
  • そして、シンボリックリンクを作成することで、攻撃者はcng.sys ドライバのような重要なバイナリを破壊します。
  • 攻撃者はその後、管理者がSMSをトリガーし、ログ情報をcng.sysファイルにリダイレクトするのを待ち、その結果、cng.sysドライバの破損したバージョンが生成される。
  • 再起動すると、オペレーティング・システムは破損したドライバーをロードしようとして失敗します。この結果、ブートが失敗し、マシンが修復モードになり、重要なOTエンジニアリング・ワークステーションにDoSが発生します。

以前の脅威調査記事で紹介した脆弱性CVE-2024-7587が存在したとしても 説明した脆弱性が存在しなかったとしても、他の手段でログファイルが非特権ユーザーによって書き込み可能な状態になれば、攻撃者はCVE-2025-0921を悪用します可能性があります。例えば、設定ミス、代替脆弱性、ファイルパーミッションを変更するソーシャルエンジニアリング攻撃などが考えられます。

結論

攻撃者が特権ファイル・システム操作を悪用する可能性は、これらのプロセスを実行しているシステムに危険をもたらす可能性があるにもかかわらず、見過ごす可能性があります。こうした脆弱性がOT環境で発見された場合、これは特に適切です。

Iconics Suite for Microsoft Windowsバージョン10.97.2以前の脆弱性が発見され、強固なセキュリティ対策の重要性が浮き彫りになった。プロアクティブな対策は、これらの脆弱性を軽減し、潜在的な悪用から保護するのに役立ちます。

パロアルトネットワークスのお客様は、以下の製品を通じて、上記の脅威に対する確実な保護を構築いただけます。

パロアルトネットワークス OTデバイスセキュリティは、Iconics Suite などの SCADA アプリケーションを実行しているシステムを含む、潜在的な暴露を評価しますために、産業環境全体にわたる可視性の獲得を支援します。次世代ファイアウォール 次世代ファイアウォール(NGFW)と組み合わせることで、CVE-2025-0921のような脆弱性のローカル悪用に関連しますリスクを低減しますセグメンテーションとアクセス制御を適用しますことができます。

情報漏えいの可能性がある場合、または緊急の案件がある場合はUnit 42インシデント レスポンス チームまでご連絡ください。

  • 北米(フリーダイヤル):866.486.4842 (866.4.UNIT42)
  • ヨーロッパ/中東/アフリカ(EMEA): +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200
  • オーストラリア: +61.2.4062.7950
  • インド: 000 800 050 45107
  • 韓国: +82.080.467.8774

Palo Alto Networksは、本調査結果を Cyber Threat Alliance (CTA)のメンバーと共有しています。CTAの会員は、このインテリジェンス情報を利用して、その顧客に対して迅速に保護をデプロイし、悪意のあるサイバー アクターを組織的に阻止しています。サイバー脅威アライアンスについて詳細をご確認ください。

その他の資料

タグ

目次

関連記事

関連項目 脆弱性 リソース

Pictorial representation of remote code execution in AI and machine learning libraries. Close-up of a woman wearing glasses and focusing intently on a computer screen.
category icon脅威リサーチ

最新のAI/MLフォーマットとライブラリによるリモート コード実行
今すぐ読む Right arrow
Pictorial representation of MongoBleed, CVE-2025-14847. Digital image featuring a glowing padlock icon superimposed on a background of streaming blue binary code, symbolizing cybersecurity.
category icon主なサイバー脅威

脅威ブリーフ: MongoDB の脆弱性 (CVE-2025-14847)
今すぐ読む Right arrow
Pictorial representation of CVE-2025-55182 (React) and CVE-2025-66478 (Next.js). Close-up of a digital display on electronic equipment with illuminated text reading "SYSTEM HACKED" in red, set against a blurred background of blue and red lights.
category icon主なサイバー脅威

React Server Components における重大な脆弱性の悪用 (12月12日更新)
今すぐ読む Right arrow
Pictorial representation of an authentication coercion attack. Panoramic view of a city skyline at night, featuring vibrant light beams from skyscrapers and a deep blue sky.
category icon脅威リサーチ

新たなアップデート。進化し続ける強制認証テクニック
今すぐ読む Right arrow
Pictorial representation of LANDFALL spyware. An illustration of a glowing red warning icon centered on a detailed blue circuit board background, representing a vulnerability in Samsung Galaxy devices.
category icon脅威リサーチ

LANDFALL: Samsungデバイスを標的とするエクスプロイト チェーンで使用される、新種の商用グレードAndroidスパイウェア
今すぐ読む Right arrow
Pictorial representation of CVE-2025-59287. Digital image of a glowing padlock symbol representing cybersecurity on a network grid with blue and orange lights.
category icon主なサイバー脅威

Microsoft WSUSのリモートコード実行の脆弱性(CVE-2025-59287)、実環境における活発な悪用を確認(11月3日更新)
今すぐ読む Right arrow
A man wearing glasses focused on a screen with reflections of code visible in the glasses.
category icon脅威リサーチ

AIエージェントが暴走するとき: A2Aシステムにおけるエージェント セッション スマグリング攻撃
今すぐ読む Right arrow
Pictorial representation of F5 data theft incident. Digital illustration of a 3D globe showing network connections and data flow across continents, highlighted with red lines and glowing points, representing global communication and connectivity.
category icon主なサイバー脅威

脅威ブリーフィング:国家主体アクターがF5のソースコードと未公開の脆弱性を窃取
今すぐ読む Right arrow
Pictorial representation of vulnerabilities in TOTOLINK X6000R. Close-up of a digital display with illuminated red and blue lights indicating a "SYSTEM HACKED" alert.
category icon脅威リサーチ

TOTOLINK X6000R: 新たに3つの脆弱性が発覚
今すぐ読む Right arrow
Enlarged Image

最新ニュース、イベント情報、脅威アラートを配信

Default Heading

Read the article Right Arrow