Johnson Controls iSTAR ICUツールの重大な脆弱性がOS障害のリスクを引き起こす

Johnson Controls iSTAR ICUツールの重大な脆弱性がシステムをOS障害のリスクに晒す

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、**Johnson Controls Inc.のiSTAR Configuration Utility（ICU）**ツールに存在する重大な脆弱性を公表しました。この脆弱性により、攻撃者がホストOSに障害を引き起こす可能性があります。このアドバイザリは、ICSA-26-022-04として公開され、影響を受けるソフトウェアバージョンにおける悪用リスクが強調されています。

技術的詳細

この脆弱性は、元のアドバイザリでCVE IDが割り当てられていませんが、ICUツール内の未特定の欠陥に起因しています。悪用に成功すると、サービス拒否（DoS）状態が発生し、ホストマシンのOSがクラッシュしたり、応答しなくなる可能性があります。アドバイザリでは攻撃ベクトルの具体的な詳細は提供されていませんが、この種の脆弱性は通常、不適切な入力検証、メモリ破壊、またはリソース枯渇に関連しています。

影響を受けるiSTAR Configuration Utilityのバージョンは以下の通りです：

• 最新のパッチが適用されたバージョンより前の全てのバージョン（アドバイザリでは具体的なバージョン番号は公開されていません）。

影響分析

ICUツールは、物理セキュリティおよびアクセス制御システムで広く使用されており、医療、政府、商業施設などの重要インフラ環境で展開されることが多いです。攻撃が成功すると、以下のような影響が生じる可能性があります：

• ホストOSのクラッシュ：ICUツールに依存するセキュリティシステムのダウンタイムが発生。
• 追加攻撃の可能性：DoS状態が悪用され、侵害されたシステム内の他の脆弱性が悪用されるリスク。
• 物理セキュリティの侵害：アクセス制御や監視システムに障害が発生し、物理的なセキュリティが損なわれる可能性。

このツールは**産業用制御システム（ICS）**と統合されていることが多いため、iSTARが導入されているセクターでは運用の継続性に重大なリスクをもたらします。

推奨対策

CISAは、Johnson Controls iSTAR ICUツールを使用している組織に対し、以下の対策を講じるよう呼びかけています：

1. 即時パッチ適用：Johnson Controlsが修正版をリリース次第、最新バージョンに更新。パッチの提供状況については、CISAアドバイザリを監視。
2. 重要システムの隔離：パッチが適用されるまで、ICUツールおよび関連システムへのネットワークアクセスを制限。ネットワークセグメンテーションを活用し、露出を最小限に抑える。
3. 悪用の監視：侵入検知/防止システム（IDS/IPS）を導入し、ICUツールやそのホスト環境を標的とした異常な活動を検出。
4. インシデント対応計画の見直し：システム障害が発生した場合に物理セキュリティ運用を維持するための緊急対策を確保。

技術的な詳細については、このアドバイザリに関連するCSAFドキュメントを参照してください。