特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
特集
» 2019年09月26日 10時00分 公開

VxWorksの脆弱性「URGENT/11」が浮き彫りにしたTCP/IPスタックの“残念な実装”IoTセキュリティ(4/4 ページ)

[谷崎朋子,MONOist]
前のページへ 1|2|3|4       

ファームウェア更新とバージョンアップ、ファイアウォール設定で対策

 VxWorksで影響を受ける製品と脆弱性の対応表は、前述した同社のセキュリティアドバイザリーに記載されている。また、URGENT/11は、VxWorks 653やVxWorks Cert Editionなど、認証取得用のセーフティクリティカル向け製品に影響を与えないことが確認されている。

VxWorksのセキュリティアドバイザリーに記載された対応表 VxWorksのセキュリティアドバイザリーに記載された対応表(クリックで拡大) 出典:ウインドリバー

 なお、今回のアーミスによる調査はVxWorksを対象に行われたが、2006年にウインドリバーがInterpeakを買収する前、IPnetのライセンス供給を受けたベンダーは多数ある。アーミスのブログの対応ベンダー一覧に挙げられていないところも存在するので、「今回の発表がより多くの人の目に止まり、脆弱な実装を修正してくれることを願っている」とセリ氏とズスマン氏は声をそろえる。

 「まずは、自身が使用しているRTOSデバイスでVxWorksまたはIPnetが実装されたものかを確認して、ベンダーが公開している最新のファームウェアに更新してほしい」(両氏)

 また、例えばTCPの緊急ポインタフィールドの脆弱性について、HTTPやSSH、SSL/TLSなど最近のプロトコルでは使わないオプションなので、同フィールドを使う通信を検出したらブロックするシグネチャを作成、適用すれば防ぐことが可能だ。

 「もっとRTOSのセキュリティリサーチは活発化してほしい。同時に、TCP/IPスタックを開発する際は、無意味な機能をそのまま継承しないよう設計時に意識してほしい」。両氏はそう会場に呼びかけた。

前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.