CODESYSに由来するICS製品の脆弱性を論じた2021年度下期のICS脆弱性分析レポートを公表
制御システムセキュリティ対策グループの堀です。
ICSユーザー組織の脆弱性対応の参考として「ICS脆弱性分析レポート(2021年度下期版)」を2022年6月28日に公表しました。
ICS脆弱性分析レポート ― 2021年度下期 ―
https://www.jpcert.or.jp/ics/ics-vuls-analysis-report.html
今回のICS脆弱性分析レポートでは、2021年度下期に公表されたICS関連製品の脆弱性の中からCODESYS v2.x系のライブラリを使用して開発されたPLC(ソフトウェアPLC含む)とCODESYSが提供するエンジニアリングツール「CODESYS Control」間の通信の処理の実装上の問題に起因する脆弱性(CVE-2021-34593)に注目し、脆弱性の読み解き方、想定される影響や攻撃シナリオ、ICSユーザー組織で実施可能と思われる対策などを解説しています。また、同期間に収集したICS関連製品の脆弱性情報の中から深刻かつ影響範囲が広い可能性があると判断し、詳細な分析を行った脆弱性情報の一覧なども付録として掲載しています。
CODESYSは、400社を超えるICS機器ベンダーで採用されている[1]ため、さまざまなICS機器ベンダーの製品に本脆弱性が継承されている可能性があります。また、CODESYS社から本脆弱性に対応したアップデートが提供されても、それがCODESYSで動作するPLCに適用されるまでには時間を要するため、本脆弱性の影響が長期間にわたる可能性があります。
ICSユーザー組織のセキュリティ担当者の方は、自組織のICS環境にCODESYSで動作するPLCがあるかどうかをベンダーにお問い合わせいただき、本脆弱性が継承されている製品を使用している場合は、本レポートを参考に対策をご検討ください。
引き続き、ICSユーザー組織で実施可能と思われる対策に関する情報を、継続的かつ定期的に提供できるよう取り組んで参ります。
制御システムセキュリティ対策グループ 堀 充孝
参考情報
[1] CODESYS Inside
https://www.codesys.com/the-system/codesys-inside.html