Festo産業制御システム、ファームウェアにおける未文書化のリモートアクセスリスクに直面

Festo ICS製品のリモートアクセスに関する文書不備が明らかに

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Festo社の産業用制御システム（ICS）製品において、リモートアクセス可能な機能や必要なIPポートに関する文書が不完全であることを指摘するアドバイザリ（ICSA-26-015-02）を発表しました。このアドバイザリは、CISAが運用技術（OT）環境のセキュリティ強化を進める一環として公開されたもので、製品文書の不備が組織に不要なセキュリティリスクをもたらす可能性があると警鐘を鳴らしています。

技術的詳細

アドバイザリによると、Festo製品の文書には、リモートアクセス可能な全機能や、それらの動作に必要なIPポートが完全に記載されていないとのことです。一部の製品マニュアルにはサポートされる機能の部分的な説明が含まれているものの、包括的な文書の不足により、セキュリティチームが潜在的な攻撃対象領域を把握できない可能性があります。この問題は、2022年12月13日にアドバイザリが更新され追加された「Bus module」を含む複数のFestoデバイスに影響を及ぼしています。

このアドバイザリに関連するCSAF（Common Security Advisory Framework）ドキュメントには追加の情報が記載されていますが、現時点では具体的なCVE識別子や技術的な緩和策は含まれていません。セキュリティ専門家は、影響を受ける製品や設定の詳細を確認するために、CSAFファイルを確認することを推奨します。

影響分析

Festo ICS製品の文書不備は、これらの製品を導入する組織に以下のリスクをもたらします：

• 攻撃対象領域の拡大：未文書化のリモート機能や開放されたポートが、脅威アクターによって悪用され、産業用ネットワークへの不正アクセスにつながる可能性があります。
• コンプライアンスの課題：不十分な文書は、IEC 62443、NIST SP 800-82、NERC CIPなどの業界標準への準拠を困難にし、資産管理やアクセス管理の徹底が求められる要件に対応できない可能性があります。
• 運用上の盲点：セキュリティチームが正規のリモートアクセス経路を把握できず、インシデント対応やネットワーク監視が複雑化する恐れがあります。

セキュリティチームへの推奨事項

CISAおよびFesto社は、これらの問題に対処するためのパッチや更新された文書をまだ公開していません。その間、セキュリティ専門家は以下の対策を講じることが推奨されます：

1. インベントリと監査：使用中の全Festo ICSデバイスの包括的な監査を実施し、未文書化のリモートアクセス可能な機能や開放されたポートを特定します。
2. ネットワークセグメンテーション：Festoデバイスを分離したOTネットワークに配置し、侵害が発生した場合の横方向の移動を制限します。
3. アクセス制御：既知のIPポートやリモート機能へのアクセスを制限する厳格なファイアウォールルールを実装します。
4. 監視：Festoデバイスを標的とした異常なトラフィックや不正アクセスの試みを検出するためのネットワーク監視ツールを導入します。
5. ベンダーとの連携：Festoサポートに連絡し、更新された文書の提供を依頼するとともに、未文書化機能のセキュリティ上の影響を明確にします。

組織は、このアドバイザリを、特にセキュリティを秘匿性に依存することが許されないOT環境において、ベンダーの文書と実際の導入状況を検証するきっかけとして捉えるべきです。CISAやFesto社からのさらなる更新が期待されます。