コンテック製品SolarViewシリーズの脆弱性により、数百のエネルギー関連組織が攻撃に晒される恐れ:CVE-2022-29303
大阪に本社を置く日本企業コンテックの太陽光発電計測・監視システム「SolarView」シリーズの脆弱性が悪用されていることについて、脆弱性インテリジェンス企業VulnCheckが注意喚起。この脆弱性CVE-2022-29303に関しては先月すでにMiraiボットネットの亜種による悪用が報告されている上、エクスプロイトコードが公開されている。またVulnCheckは、インターネットに接続されたSolarViewシステムのうち、同脆弱性へのパッチが適用されているものは3分の1未満しかなかったとも指摘している。
SolarViewシリーズの脆弱性、CVE-2022-29303
SolarViewシリーズは、小規模低圧の発電所からメガソーラーまで40,000サイト以上での納入実績があるとされる太陽光発電計測表示システム。同製品に存在するCVE-2022-29303はコードインジェクションの脆弱性(CVSSスコア:8.8)で、認証されていない遠隔の攻撃者により悪用される可能性があるもの。MITERのサイトによればSolarView Compactのver.6.0に影響を与えるとされているが、VulnCheckは、実際にはver 6.20などのバージョンも脆弱であり、修正されたのはver 8.00になってからだと指摘している。またこの脆弱性は、遅くともver 4.00の段階で存在していたという。
Miraiの亜種による悪用
Palo Alto Networks Unit 42は、今年6月22日に公開したブログ記事において、Miraiボットネットの亜種によって悪用される複数の脆弱性について取り上げたが、このうちの1つが、CVE-2022-29303だった。Unit 42によれば、この悪用は2023年3月15日に検出されたのだという。
エクスプロイトコードの存在
同脆弱性はMiraiの亜種による悪用が観測されている時点で懸念度が高いが、ネット上でエクスプロイトコードが公開されていることも留意に値する。エクスプロイトコードを集めて公開しているアーカイブサイト「Exploit-DB」には2022年5月からCVE-2022-29303のエクスプロイトが掲載されているほか、このエクスプロイトを使って実際にShodan上で見つかったSolarViewシステムを悪用する様子を映したYouTube動画までもが存在するという。
ネットに接続されたSolarViewシステムの3分の2が未パッチ状態
VulnCheckがShodanを利用して調べたところ、インターネットに接続されているSolarViewシステムは615件インデックスされていたものの、そのうちCVE-2022-29303に対するパッチが適用されているものは3分の1に満たなかったという。言い換えると、全体の3分の2以上にあたる425のシステムが脆弱なバージョンだということになる。
SolarViewシステムにはさらに別の脆弱性も
VulnCheckはさらに、SolarViewシステムにおける他の認証不要のRCEの脆弱性(CVE-2023-23333、CVE-2022-44354)も悪用されている可能性があると警告している。CVE-2023-23333はコマンドインジェクションの脆弱性で、GitHub上で複数のエクスプロイトコードが利用可能になっているという。一方CVE-2022-44354はファイルアップロードの脆弱性で、攻撃者によるシステムへのPHP Webシェルのアップロードを可能にする恐れがある。両脆弱性はいずれも、ある程度の悪用に晒されている可能性が高いとされる。
システム悪用自体の重大性は低いものの、場合によっては大きな影響が出る恐れも
SolarViewシステム単体で考えれば、これらの脆弱性の悪用はさほど重大なものではないという。しかしSolarViewハードウェアが統合されているネットワークによっては、悪用された場合の影響が大きくなる可能性があるとVulnCheckは指摘する。例えば同ハードウェアが太陽光発電サイトの一部となっている場合、攻撃者は他のICSリソースを攻撃するための踏み台としてSolarViewを使用する可能性がある。そうなれば、生産性が低下したり、収益が損失したりといった事態に発展してもおかしくない。また公開エクスプロイトの存在や、Miraiによる悪用が確認済みであることなども懸念材料だ。SolarViewシステムを利用する組織の速やかな対応が待たれる。
(情報源:SecurityWeek “Exploited Solar Power Product Vulnerability Could Expose Energy Organizations to Attacks”、VulnCheck ”Actively Exploited Industrial Control Systems Hardware – SolarView Series”)