SUBNET Substation Serverにサードパーティコンポーネント依存の脆弱性CVE-2024-26024が発覚、権限昇格やDoS状態などの恐れ

text: XEXEQ編集部

SUBNET Substation Serverにおける信頼できないサードパーティコンポーネント依存の脆弱性
SUBNET Substation Serverにサードパーティコンポーネント依存の脆弱性CVE-2024-26024が発覚
脆弱性対策の考察
参考サイト

SUBNET Substation Serverにおける信頼できないサードパーティコンポーネント依存の脆弱性

SUBNET Solutionsが提供するSubstation Serverに信頼できないサードパーティコンポーネントへの依存の脆弱性が存在
影響を受けるのはSubstation Server 2.23.10およびそれ以前のバージョン
脆弱性が悪用されると権限昇格やDoS状態、任意のコード実行などの可能性あり
開発者はアップデートを提供しており、詳細は開発者情報を確認するよう呼びかけ

SUBNET Substation Serverにサードパーティコンポーネント依存の脆弱性CVE-2024-26024が発覚

2024年5月8日、SUBNET SolutionsのSubstation Serverにおいて、信頼できないサードパーティコンポーネントへの依存に起因する脆弱性が明らかになった。この脆弱性は「CVE-2024-26024」として識別されている。Substation Serverは電力システムにおけるサブステーションの監視・制御に使われる重要なソフトウェアであり、脆弱性の影響範囲は広い。^[1]

脆弱性が存在するのはSubstation Server 2.23.10およびそれ以前のバージョンで、CWE-1357として分類される「信頼できないサードパーティコンポーネントへの依存」に該当する。攻撃者がこの脆弱性を悪用した場合、権限昇格やサービス運用妨害（DoS）状態に陥らせたり、任意のコードを実行されたりする可能性がある。

SUBNET Solutionsは、脆弱性に対処したアップデートを提供しており、Substation Serverのユーザーに対して速やかな適用を呼びかけている。今後、ICS Advisory | ICSA-24-128-02などでも詳細情報が公開される見込みだ。

脆弱性対策の考察

Substation Serverの脆弱性は、サイバー攻撃者にとって格好のターゲットになり得る。電力システムは社会インフラの根幹を担っているため、脆弱性を突かれた場合の影響は甚大だ。停電や電力供給の混乱といった事態を引き起こされかねない。特に国家的なサイバー攻撃との関連が疑われるケースでは、制御システムの機密情報を窃取されたり、破壊工作に利用されたりするリスクもある。電力各社は自社の設備で使われているソフトウェアのバージョンを早急に確認し、脆弱性の有無をチェックする必要がある。その上で、パッチの適用やシステム設定の見直し、ネットワークの分離など、多層的なセキュリティ対策を講じていく必要があるだろう。

制御システムの分野では、セキュリティを考慮した設計思想や開発プロセスが十分に確立しているとは言い難い。システムの可用性や安定稼働を最優先する余り、セキュリティ対策が後手に回るケースも少なくない。リスク評価の甘さや予算不足、人材不足といった課題も根深い。今回の脆弱性が突きつけた教訓を生かし、制御システムベンダー各社にはセキュアな製品開発とサポート体制の強化を求めたい。ユーザー企業側でも、制御システムを守るためのガバナンス改革と投資拡大が欠かせないだろう。ソフトウェアの脆弱性は、管理を怠れば必ず付け入られる隙になるので、制御システムのセキュリティ向上に向けて関係者が一丸となって取り組む必要がある。