脆弱性

SCADAシステムに存在する特権ファイルシステムの脆弱性

Clock Icon 2 分で読めます
Related Products
Cloud-Delivered Security Services iconCloud-Delivered Security ServicesNext-Generation Firewall iconNext-Generation Firewall

エグゼクティブ サマリー

本レポートでは、Iconics Suite で発見された脆弱性について詳述します。 CVE-2025-0921として追跡され、CVSS スコアは 6.5 です。Iconics Suiteは、監視制御およびデータ収集(SCADA)システムの名称です。このシステムは、自動車、エネルギー、製造業など、さまざまな産業における工業プロセスの制御と監視に使用されています。

2024年初頭、私たちはIconics Suiteの評価を実施し、5つの脆弱性を特定しました。これらはMicrosoft WindowsのVersion 10.97.2以前のものです。関連する脆弱性は以前の投稿で発表しています。本稿では、CVE-2025-0921の分析に集中します。

この脆弱性の悪用に成功すると、影響を受けるシステムにサービス拒否(DoS)状態が発生する可能性があります。その他の詳細は表1の概略のとおりです。

CVE識別子 脆弱性の説明 スコア評価
CVE-2025-0921: Mitsubishi Electric Iconics Digital Solutions GENESIS64 の複数のサービスに、不要な権限で実行される脆弱性 6.5 - 中程度

表1. CVE-2025-0921の詳細。

攻撃者はIconics Suiteの脆弱なバージョンを実行しているマシンにおいて、特権ファイルシステム操作を悪用して権限を昇格させ、重要なバイナリを破損させ、システムの完全性と可用性を損なわせる可能性があります。私たちはIconicsのセキュリティチームと調整し、この問題への対策を詳述したアドバイザリーを発表しました。この回避策を適用すれば、報告された脆弱性は取り除くことができます。

パロアルトネットワークスのお客様は、以下の製品を通じて、本書で取り上げるツールに対して確実な保護を構築できます。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、Unit 42インシデント レスポンス チームまでご連絡ください。

Unit 42の関連トピック Vulnerabilities, Privilege Escalation, CVE-2025-0921

背景

以前の記事で、Iconics Suiteのバージョン10.97.3以前で発見された5つの脆弱性について報告しま。これらの脆弱性は、攻撃者が権限を昇格させ、最終的に脆弱なシステムを操作不能にする可能性があります。この調査に関連して、私たちはさらに1つの問題を発見しました。

脆弱性の背景を理解する

昇格した権限で実行されるプロセスは、特に適切なアクセス制御なしに機密性の高いファイルやディレクトリを操作する場合、重大なセキュリティリスクとなります。これは特権ファイルシステム操作の脆弱性として知られています。

この手の脆弱性は、ファイルの作成、上書き、コピー、移動、削除などのファイルシステム操作を悪用する機会を攻撃者に与える可能性があり、これらの行為はDoSや情報漏洩から完全なシステム侵害に至るまで、様々なインシデントをもたらす可能性があります。

CVE-2025-0921は攻撃者が Iconics Suite の特権ファイルシステム操作を悪用して、重要なシステムバイナリを破壊し、SCADA システムの可用性と完全性を破壊することを可能にするなど、さまざまなシナリオで悪用される可能性があります。このデモでは、以前に確認された脆弱性 CVE-2024-7587を利用し、過剰なファイル操作権限を付与することで最適な攻撃環境を構築します。

CVE-2025-0921の影響を完全に実証するために、CVE-2024-7587(以前の研究で詳述)を含む脆弱性チェーンを使用します。CVE-2024-7587 は GenBroker32インストーラーに影響し、C:\ProgramData\ICONICS ディレクトリに過剰な権限が付与されるため、システム上の任意のユーザーが重要な設定ファイルを変更できるようになります。

Iconics Suiteでは、AlarmWorX64 MMX機能セットのコンポーネントであるページャー・エージェントに、特権ファイルシステム操作の脆弱性が見つかりました。AlarmWorX64 MMXは、産業プロセスを監視し、問題発生時に自動的にアラートを発報するアラート管理システムです。

ページャー・エージェントを使用すると、管理者は AlarmWorX64 MMX でカスタマイズしたトリガーと動作アラートを設定できます。これらのアラートは、ページャー・エージェントの設定ユーティリティであるPagerCfg.exeを通じて管理されます。このユーティリティにより、管理者はSMS、GSM、TAPなどの多種多様なページャー・サービスやプロトコルを介して配信されるアラートを設定することができます。

図 1は、Windowsホスト上でPagerCfg.exeを実行したときに表示されるページャー・エージェントの設定ウィンドウを示しています。

画像はMMXPAGER TAP/SMSの設定ウィンドウです。TAPログファイル、TAPとSMSダイアログ、確認応答、ANSIモデム、SMSユニコードを有効にするためのチェックボックスとフィールドが含まれています。SNPPサーバーのホスト名、ポート(444に設定)、SNPPプロトコルレベル、ピン、パスワードの入力フィールドがあります。シャットダウンを許可するドロップダウンメニューのオプションもある。
図1.PagerCfg.exe実行時のページャー・エージェント設定ウィンドウ。

SMS アラートを設定するために、管理者は図 1 に示す SMS Unicode ボタンを押して SMS 設定ウィンドウを開くことができます。図 2 に SMS Unicode設定ウィンドウのパラメータを示します。

SMS Unicode 設定ウィンドウのスクリーンショット。これには、Device、Baudrate、Pin、Recipients、Body(70文字以内)、LogFileのフィールドが含まれる。"表示"、"SMS送信"、"OK "と書かれたボタンがある。モデムの動作には特定のボーレートが必要な場合があることが、下部の注意書きに記載されている。このバージョンは "登録版 "と表示されている。
図2.SMS Unicode Configuration ウィンドウ。

このSMS Unicode設定ウィンドウは、システム管理者がデバイス、ボーレート、受信者を選択し、アラートのメッセージ本文を作成することを可能にします。この設定ウィンドウには、テストSMSを送信するオプションもあります。

SMS設定に加えて、PagerCfg.exeは、図2に示すように、管理者がSMSLogFileのパスを定義することを可能にします。管理者が SMSLogFile のパスを定義すると、アプリケーションは各 SMS 操作のログをこのファイルに書き込みます。

重要な設定ファイルの脆弱性

管理者がPagerCfg.exeを使用してページャー・エージェントを設定した後、SMSLogFileのパスはC:\ProgramData\ICONICS\IcoSetup64.ini 設定ファイルに保存されます。通常のセキュリティ環境の設定ファイルは、特権を持たないユーザーによる変更から保護されていますが、GenBroker32がシステムにインストールされるとCVE-2024-7587の対象となります。

GenBroker32は、Iconics ソフトウェア・スイートに含まれるレガシー通信ユーティリティで、異なる通信プロトコル間の変換により、古い産業用システムと新しいIconicsソフトウェアとの接続を支援するものです。GenBroker32のインストーラに存在脆弱性(CVE-2024-7587)は、システム上の全てのユーザーに対して、C:\ProgramData\ICONICSディレクトリへの完全な読み書きアクセスを許可し、ローカルユーザーにIcoSetup64.ini 設定ファイルの書き込みを可能にします。

図3は、GenBroker32インストーラーが変更したC:\ProgramData\ICONICSに対する、Iconics Suiteの中核的なHMI/SCADA可視化コンポーネントであるGraphWorX64の権限を示しています。

この画像は、Windowsのファイルエクスプローラーウィンドウで、コンピュータのC:ドライブにある「ICONICS」ディレクトリを開いた状態を示しています。左側に「ICONICS プロパティ」ダイアログボックスが表示され、許可設定が表示されます。右側に "GraphWorX64 by ICONICS, Inc "の "About "ウィンドウが開き、バージョン10.97と表示されている。ICONICS, Inc.」の住所と連絡先が、マイクロソフトパートナーのステータスを示すアイコンとともに表示されます。
図3. GraphWorX64のパーミッション。

脆弱性を利用

攻撃者がGenBroker32をインストールしたシステムへの非管理者アクセスを獲得するシナリオでは、攻撃者は設定ファイル内に含まれる任意の情報を操作することができるようになります。これは特に、アプリケーションが SMS の活動をどこに記録するかを制御する SMSLogFile パスに該当します。

攻撃者は以下の手順でCVE-2025-0921を悪用し(CVE-2024-7587による過剰なファイル操作権限を利用)、GenBroker32がインストールされたシステムに対してDoS攻撃を行う可能性があります。

ステップ1

非管理ユーザーとしてログインした場合、攻撃者はC:\ProgramData\ICONICSにあるIcoSetup64.ini設定ファイルを検査することで、SMSLogFileのパスを発見できます。SMSLogFileのパスは図4に記載の通りC:\usersiconics_user\AppData\Local\Temp\logs\log.txtとなります。

スクリプトやコードを表示するメモ帳ウィンドウのスクリーンショット。テキストにはファイルパス、設定、コンフィギュレーションが含まれる。ファイルパス "C:\Users\CLOSES~1\Workspace\task\Temp\deploylog.txt"がハイライトされる。
図4. IcoSetup64.ini 設定ファイルで強調表示されている SMSLogFile パス。

ステップ2

攻撃者は、SMSLogFileの場所からターゲットとなるバイナリに対して、特別に細工したシンボリックリンク(symlink)を作成します。攻撃者は、このシンボリックリンクを作成するために管理者権限を必要としません。セキュリティ評価では、cng.sysをターゲット・バイナリとして選択済みです。その後、PagerCfg.exeはこのバイナリの内容を書き込みか上書きし、結果的にターゲットバイナリを破壊します。

cng.sys ドライバーは、Microsoft Cryptography API: Next Generation (CNG) で使用されます。CNG は、Windows システムコンポーネントにおける暗号化サービスを提供するものです。通常、cng.sys ドライバーは C:\Windows\System32\drivers ディレクトリに存在します。しかし、もし cng.sys がその親ディレクトリである C:\Windows\System32 に存在する場合、Windows は C:\Windows\System32\drivers からではなく、C:\Windows\System32 からドライバーファイルをロードしようとする可能性があります。

攻撃者がC:\Windows\System32\cng.sys に無効なドライバを作成したり、有効なドライバを破損させたりすると、オペレーティングシステムは起動に失敗します。これは、Object ManagerのシンボリックリンクとNTFSマウントポイントを組み合わせて、管理者権限なしでファイルのシンボリックリンクを作成することで実現できます。

ステップ3

攻撃者はその後、管理者がSMS Unicode設定ウィンドウからテストメッセージを送信するか、AlarmWorx MMXが自動的にアラートを発出するのを待ちます。

図 5 は、SMSlogFile パスを含む、セキュリティ評価中に使用した SMS Unicode設定項目の例です。

SMS Unicode 設定ウィンドウのスクリーンショット。Device(COM5)、Baudrate(38400)、Pin(1231a)、Recipients、Body(最大70文字)、LogFile path("C:\Users\ICONICS_USER\AppData\Local\Temp\log")のフィールドを含む。SMS送信、ログ閲覧、設定確認などのボタンがある。注意書きによると、モデムの動作には特定のボーレートが必要な場合がある。
図5.SMS Unicode Configuration ウィンドウ。

SMSが送信されると、この設定はそのロギング情報をC:\ProgramData\ICONICS\LogFiles\log.txtからC:\Windows\System32\cng.sys へのシンボリックリンクをたどるように指示し、ログデータを実質的にC:\Windows\System32\cng.sys へとリダイレクト(出力)します。

変更されたcng.sysの内容には、期待されたバイナリの代わりにSMS情報のログデータが含まれるようになります。これは図6に示すように、CFFエクスプローラを使用してC:\Windows\System32\cng.sysを調査することで確認できました。

ファイル "cng.sys "のHex Editorタブを示すCFF Explorer VIIIソフトウェアのスクリーンショット。ウィンドウの左側に16進数、右側に対応するASCII文字が表示されます。
図6. エクスプロイトによって新しく作成されたcng.sysファイルの16進数ダンプ。

ステップ4

マシンを再起動すると、オペレーティング・システムはC:\Windows\System32\cng.sysをロードしようとしますが、新しく変更されたファイルは有効なドライバーではなくログファイルであるため、読み込み処理は失敗します。この障害は、図7に示すように、オペレーティング・システムが修復モードで失敗し、スタックする原因となります。

青いWindowsロゴが中央にある黒い画面。ロゴの下には "自動修理の準備中 "と書かれている。
図7. 破損したドライバによって引き起こされるWindows起動ループ。

このDoS攻撃手法を要約すると、次のようになります:

  • 管理者権限を持たないローカルユーザーとしてログインした状態で、攻撃者はまず、管理者がIcoSetup64.iniファイルにあらかじめ設定したSMSLogFileのパスを特定します。
  • 次に、シンボリックリンクを作成することで、攻撃者はcng.sys ドライバのような重要なバイナリを破壊します。
  • 攻撃者はその後、管理者がSMSをトリガーし、ログ情報をcng.sysファイルにリダイレクトするのを待ち、その結果、cng.sysドライバの破損したバージョンが生成されます。
  • 再起動すると、オペレーティング・システムは破損したドライバーをロードしようとして失敗します。この結果、起動に失敗して、マシンが修復モードでスタックし、重要なOTエンジニアリング・ワークステーションでDoSが発生します。

以前の脅威調査記事で解説した脆弱性CVE-2024-7587が存在しなかったとしても、ログファイルが他の手段で非特権ユーザーによって書き込み可能な状態になれば、攻撃者はCVE-2025-0921を悪用する可能性があります。例えば、設定ミス、他の脆弱性、ファイル操作権限を変更するソーシャルエンジニアリング攻撃などが挙げられます。

結論

特権ファイルシステムが攻撃者に悪用される可能性は、そのプロセスを実行するシステムに及ぼす危険性にかかわらずしばしば見過ごされがちです。こうした脆弱性がOT環境で発見された場合、その重要性は極めて高くなります。

Microsoft Windows版 Iconics Suite(バージョン10.97.2以前)において脆弱性が発見されたことは、強固なセキュリティ対策を講じる重要性を改めて浮き彫りにしています。プロアクティブな対策を講じることで、こうした脆弱性の影響を緩和し、潜在的な悪用からシステムを保護することが可能になります。

パロアルトネットワークスのお客様は、以下の製品を通じて、上記の脅威に対する確実な保護を構築いただけます。

パロアルトネットワークス OTデバイスセキュリティは、Iconics Suite などの SCADA アプリケーションを実行しているシステムを含む、潜在的なリスクの露出を評価できるよう支援します。次世代ファイアウォール (NGFW)と組み合わせることで、セグメンテーションやアクセス制御を適用し、CVE-2025-0921のような脆弱性のローカルでの悪用に伴うリスクを低減することができます。

情報漏えいの可能性がある場合、または緊急の案件がある場合はUnit 42インシデント レスポンス チームまでご連絡ください。

  • 北米(フリーダイヤル):866.486.4842 (866.4.UNIT42)
  • ヨーロッパ/中東/アフリカ(EMEA): +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200
  • オーストラリア: +61.2.4062.7950
  • インド: 000 800 050 45107
  • 韓国: +82.080.467.8774

パロアルトネットワークスは、本調査結果を Cyber Threat Alliance (CTA)のメンバーと共有しています。CTAの会員は、このインテリジェンス情報を利用して、その顧客に対して迅速に保護をデプロイし、悪意のあるサイバー アクターを組織的に阻止しています。サイバー脅威アライアンスについて詳細をご確認ください。

その他の資料

タグ

目次

関連記事

関連項目 脆弱性 リソース

category icon主なサイバー脅威

野放し状態で悪用されているIvanti EPMMの深刻な脆弱性
今すぐ読む Right arrow
Pictorial representation of remote code execution in AI and machine learning libraries. Close-up of a woman wearing glasses and focusing intently on a computer screen.
category icon脅威リサーチ

最新のAI/MLフォーマットとライブラリによるリモート コード実行
今すぐ読む Right arrow
Pictorial representation of MongoBleed, CVE-2025-14847. Digital image featuring a glowing padlock icon superimposed on a background of streaming blue binary code, symbolizing cybersecurity.
category icon主なサイバー脅威

脅威ブリーフ: MongoDB の脆弱性 (CVE-2025-14847)
今すぐ読む Right arrow
Pictorial representation of CVE-2025-55182 (React) and CVE-2025-66478 (Next.js). Close-up of a digital display on electronic equipment with illuminated text reading "SYSTEM HACKED" in red, set against a blurred background of blue and red lights.
category icon主なサイバー脅威

React Server Components における重大な脆弱性の悪用 (12月12日更新)
今すぐ読む Right arrow
Pictorial representation of an authentication coercion attack. Panoramic view of a city skyline at night, featuring vibrant light beams from skyscrapers and a deep blue sky.
category icon脅威リサーチ

新たなアップデート。進化し続ける強制認証テクニック
今すぐ読む Right arrow
Pictorial representation of LANDFALL spyware. An illustration of a glowing red warning icon centered on a detailed blue circuit board background, representing a vulnerability in Samsung Galaxy devices.
category icon脅威リサーチ

LANDFALL: Samsungデバイスを標的とするエクスプロイト チェーンで使用される、新種の商用グレードAndroidスパイウェア
今すぐ読む Right arrow
Pictorial representation of CVE-2025-59287. Digital image of a glowing padlock symbol representing cybersecurity on a network grid with blue and orange lights.
category icon主なサイバー脅威

Microsoft WSUSのリモートコード実行の脆弱性(CVE-2025-59287)、実環境における活発な悪用を確認(11月3日更新)
今すぐ読む Right arrow
A man wearing glasses focused on a screen with reflections of code visible in the glasses.
category icon脅威リサーチ

AIエージェントが暴走するとき: A2Aシステムにおけるエージェント セッション スマグリング攻撃
今すぐ読む Right arrow
Pictorial representation of F5 data theft incident. Digital illustration of a 3D globe showing network connections and data flow across continents, highlighted with red lines and glowing points, representing global communication and connectivity.
category icon主なサイバー脅威

脅威ブリーフィング:国家主体アクターがF5のソースコードと未公開の脆弱性を窃取
今すぐ読む Right arrow
Enlarged Image

最新ニュース、イベント情報、脅威アラートを配信

Default Heading

Read the article Right Arrow