ニュース

Sep 10, 2023

重大な脆弱性により駐車場管理システムがハッカー攻撃にさらされる

Quasi una dozzina di vulnerabilità scoperte nella gestione dei parcheggi

建築および産業オートメーション用の電子制御コンポーネントを製造するイタリアの企業カルロ・ガヴァッツィ社製の駐車場管理システムに十数件近くの脆弱性が発見された。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

建築および産業オートメーション用の電子制御コンポーネントを製造するイタリアの企業カルロ・ガヴァッツィ社製の駐車場管理システムに十数件近くの脆弱性が発見された。

この欠陥は、産業用サイバーセキュリティ企業 Claroty の研究者によって、Carlo Gavazzi の CPY Car Park Server と UWP 3.0 監視ゲートウェイおよびコントローラー製品で発見されました。 ベンダーは今年初めに影響を受ける製品のパッチをリリースしました。

ドイツに拠点を置き、欧州ベンダーの産業用制御システム (ICS) およびオペレーショナル テクノロジー (OT) 製品に影響を与える脆弱性の開示を調整している [email protected] は、カルロ ガヴァッツィの問題を説明する勧告を発行しました。 [email protected] の勧告には 11 件の脆弱性が記載されており、攻撃者がそれらを悪用して「影響を受けるデバイスに完全にアクセスできる」可能性があると当局は警告しています。

この脆弱性の報告で [email protected] とクレジットされている Claroty のセキュリティ研究者 Vera Mens 氏は、SecurityWeek に対し、影響を受ける UWP 製品はビルオートメーション、エネルギー管理、駐車場誘導システムをリモートで管理するために設計された Web ベースのアプリケーションであり、ドライバーに提供するものであると述べました。駐車施設内の駐車スペースの空き状況に関する情報。

「UWP 監視ゲートウェイは、それぞれが異なる目的を意図したさまざまな監視サーバーを実行できる多目的デバイスです」とメンズ氏は説明しました。 「たとえば、CPY 駐車場サーバーは、利用可能な駐車スペースを追跡する駐車場内の他のデバイスを監視および制御する専用の UWP 3.0 デバイスの機能です。この例では、各駐車スポットにセンサーがあり、駐車スペースが空いているかどうかを検出します。車がそこにあります。センサーは CPY 駐車場サーバーに報告し、CPY 駐車場サーバーがデータを集約し、分析 (経時的な容量など) を提供し、操作全体を調整します。」

これらの製品は、ハードコーディングされた資格情報、SQL インジェクション、認証の欠落、不適切な入力検証、パス トラバーサルに関連する重大な脆弱性のほか、いくつかの高重大度の問題の影響を受けることが判明しています。 これらのセキュリティ ホールが悪用されると、認証のバイパス、情報の取得、コマンドの実行が可能になり、攻撃者が標的のシステムを完全に制御できるようになります。

幸いなことに、Mens 氏は、Claroty はインターネット上に公開されている UWP デバイスを認識していないと述べました。つまり、攻撃者が脆弱性を悪用するには、標的のネットワークにアクセスする必要があるということです。

ただし、攻撃者が標的のネットワークにアクセスできる場合、この脆弱性を悪用してさまざまな活動を実行する可能性があります。

「この脆弱性は悪用可能であり、監視デバイスを悪用して監視データを偽装したり、物理プロセスを中断するためにリモートコントローラーやセンサーなどの入れ子になったデバイスを制御したりするなど、さまざまな攻撃シナリオにつながる可能性がある」とメンズ氏は説明した。

研究者は、ベンダーがすべての脆弱性をすぐに修正したと述べた。 [email protected] によると、UWP3.0 バージョン 8.5.0.3 以降と CPY Car Park Server バージョン 2.8.3 以降でこの欠陥に対処されています。 サイバーセキュリティ機関は、この種の攻撃を防ぐための一般的な推奨事項もいくつか共有しました。

関連: 新しい脆弱性により、Rockwell PLC に対する Stuxnet スタイルの攻撃が可能になる

関連: 大手企業が使用するAUVESY製品に重大な脆弱性が発見

関連: FileWave MDM の脆弱性によるリモート攻撃にさらされる 1,000 の組織

Eduard Kovacs (@EduardKovacs) は、SecurityWeek の寄稿編集者です。 彼は、Softpedia のセキュリティ ニュース記者としてジャーナリズムのキャリアを開始する前に、高校の IT 教師として 2 年間働いていました。 エデュアルドは産業情報学の学士号と、電気工学に適用されるコンピュータ技術の修士号を取得しています。

SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

SecurityWeek の脅威検出およびインシデント対応サミットには、世界中のセキュリティ専門家が集まり、侵害、APT 攻撃、脅威インテリジェンスに関する戦争の話を共有します。

Securityweek の CISO フォーラムでは、今日のセキュリティ リーダーが最も懸念している問題や課題、そして企業の主力防御者としての将来がどうなるかについて取り上げます。

デッドエンド AI の未来に直面した場合、サイバーセキュリティ業界は従来のアプローチ、特に人間主導のアプローチに大きく依存し続けることになります。 ただし、いつも通りにはいかないでしょう。(オリバー・ロッチフォード)

チームが企業のサイロを打破し、何が起こっているかを確認して理解する方法があれば、ますます分散し多様化する環境全体の保護を向上させることができます。(Matt Wilson)

セキュリティ組織が重点を置いているユースケースに関係なく、脅威の状況を理解することから始めなければ、時間とリソースを無駄にし、誤った決定を下す可能性があります。(Marc Solomon)

業界標準のフレームワークやガイドラインにより、多くの場合、組織はより多くのセキュリティ ソリューションを導入することで脅威に対する保護が強化されると信じ込んでしまいます。(Torsten George)

ゼロトラストに向けた積極的な取り組みにより、テクノロジー リーダーは、セキュリティの標準となるべき古くて新しいアイデアを活用できます。(Marie Hattar)

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

（当時）匿名のセキュリティ研究者との衝突を理由にサービスを無期限に停止すると発表してから 1 週間も経たないうちに...

OpenAI は、セキュリティ会社が、影響を受けるコンポーネントの使用が確認されたと報告したのと同じ日に、ChatGPT データ侵害を確認しました。

サプライ チェーンの脅威は攻撃対象領域の管理に直接関係していますが、その前にサプライ チェーンを知り、理解する必要があります。

最新の Chrome アップデートでは、外部研究者によって報告された 7 件を含む 8 件の脆弱性に対するパッチが提供されます。

火曜日のパッチ: Microsoft は、電子メールがプレビュー ペインで表示される前に脆弱性 (CVE-2023-23397) が悪用される可能性があると警告しています。

Apple は macOS、iOS、Safari のアップデートをリリースしました。これらのアップデートには、CVE-2023-23529 として追跡されているゼロデイ脆弱性に対する WebKit パッチが含まれています。

7 人のセキュリティ研究者からなるグループが、自動車メーカー 16 社の車両に、自動車の制御を可能にするバグを含む多数の脆弱性を発見しました。

Dahua のカメラとビデオ レコーダーに影響を与える脆弱性が、脅威アクターによって悪用され、デバイスのシステム時間を変更する可能性があります。