この特設サイトでは、T-Kernel、μT-Kernel及びT2EXといったTRON系OSやミドルウェア、さらにITRON仕様準拠OSに関係すると思われる脆弱性に関する情報を告知し、集約してまいります。
特にITRONにつきましては、トロンフォーラムから提供しているのは仕様だけであり、インプリメントは各社によってさまざまです。このため、トロンフォーラムがそれらの各社によって実装されたITRON仕様準拠OSに対する責任を持つわけではございませんが、それらのOSを利用されている方の利便性向上のため、このサイトをご用意いたしました。
トロンフォーラム事務局から提供する情報だけでなく、広く皆様からの情報提供もお待ち申し上げます。
なお、この特設サイト及びTIVACは皆様からご報告いただいた脆弱性情報を収集して広報する活動を行うものです。機器をそろえて脆弱性の有無を調査するといった活動を行う試験機関ではありません。あらかじめご了承ください。
2020/6/24
Treck社が提供するIPスタックの脆弱性「Ripple20」についてのご注意
現在、Treck社が提供するIPスタックの脆弱性「Ripple20」に関して各種報道が行われています。
トロンフォーラムで提供しております T-Kernel 2.0 Extension(T2EX) に含まれるTCP/IPプロトコルスタックは NetBSDの実装をもととしており、Ripple20の対象となるTreck社が提供するIPスタックとは関係ありません。
しかしながら今回のRipple20につきましては、以下の点から日本のTRON系RTOSファミリーの利用者に特に注意を喚起いたします。Treck社から直接提供されるスタック以外にも、図研エルミック社の提供するKASAGO製品にも同様の脆弱性があることが、図研エルミック社より報告されています。
- 図研エルミック
KASAGO製品における脆弱性に関するお知らせ
https://www.elwsc.co.jp/news/4136/
詳細な説明文書:
https://www.elwsc.co.jp/wp-content/uploads/2020/06/KASAGO202006-1.pdf
このKASAGOスタックはトロンフォーラムの前身のT-Engine フォーラムの時代に、T-Engine用に商用提供された最初のネットワークのスタックの一つで広く販売されていました。もし製品、プロトタイプに関わらず、ネットワークに接続したシステムでKASAGO製品を利用されている場合には、上記の文書に書かれた対処を検討してください。
図研エルミック社の文書にある対処がすぐにできない場合には、以下に引用するCISAのアドバイザリーにある対策が、脆弱性の影響を少なくすると言う意味で重要となります(ただし、完全な対処ではないことにご注意ください。):
- CISA recommends users take defensive measures to minimize the risk of exploitation of this vulnerability. Specifically, users should: Minimize network exposure for all control system devices and/or systems, and ensure that they are not accessible from the Internet.
- Locate control system networks and remote devices behind firewalls, and isolate them from the business network.
- When remote access is required, use secure methods, such as Virtual Private Networks (VPNs), recognizing that VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize that VPN is only as secure as the connected devices.
- Use an internal DNS server that performs DNS-over-HTTPS for lookups.
端的に意訳しますと以下のようになります。
- 機器、制御システムがネットワークとつながる部分を最小にして、特に重要なことはインターネットから切り離せ。
- 制御システムとデバイスをファイアウォールで防御し、制御系でない目的の商用ネットワークから切り離せ。
- 遠隔アクセスが必要ならば安全な手法、たとえばVPNを使え。
ただし、VPNにも限界があることは理解せよ。(VPNのソフトウェアにも脆弱性があるので、最新バージョンにすることが必要。遠隔の装置のアクセスは、遠隔の装置が侵入されていたらすでに安全ではないことを理解せよ。) - DNSの検索は、外部サーバーではなく、DNS-over-HTTPSの安全な検索をする内部のDNSサーバーに向けるようにせよ。
上記KASAGOスタック以外の、各種サードパーティから提供されるTCP/IPプロトコルスタックを利用されている場合にも、TRON系RTOSの利用の有無にかかわらず、最新のセキュリティ情報をご確認のうえ適切にご対応いただくことをご案内いたします。
なお、TRON系RTOSに関するサードパーティー製品につきまして、Ripple20やその他の脆弱性に関する情報がありましたら、ぜひトロンフォーラム事務局まで、情報提供をいただきますようお願い申し上げます。
■トロンフォーラム「脆弱性情報特設サイト」
https://www.tron.org/ja/vulnerability/
■日本 JPCERT
Treck製IPスタックに複数の脆弱性
https://jvn.jp/vu/JVNVU94736763/
■米国CERT/CCによるTreck IPスタックに関する複数脆弱性の報告
Treck IP stacks contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/257161
■米国 Department of Homeland Security
Cybersecurity and Infrastructure Security Agency (CISA)による「Ripple20」に関する告知
Treck TCP/IP Stack (Update G)
https://www.us-cert.gov/ics/advisories/icsa-20-168-01
■イスラエルJSOF社による「Ripple20」に関する告知
https://www.jsof-tech.com/ripple20/
- 同社による脆弱性デモビデオ:
https://www.youtube.com/watch?v=jkfNE_Twa1s
2019/9/27
旧・Interpeak社製IP Stackの脆弱性「URGENT/11」に関するご注意
現在、旧・Interpeak社製IP Stackの脆弱性「URGENT/11」に関して各種報道が行われています。
トロンフォーラムで提供しております T-Kernel 2.0 Extension(T2EX) に含まれるTCP/IPプロトコルスタックは NetBSD の実装をもととしており、URGENT/11 の対象となる旧・Interpeak社製IP Stackとは関係ありません。
しかしながら、各種サードパーティから提供されるTCP/IPプロトコルスタックを利用されている場合は、TRON系OSの利用の有無にかかわらず、最新のセキュリティ情報をご確認のうえ適切にご対応いただくことをご案内いたします。
また、TRON系OSに関するサードパーティー製品につきまして、URGENT/11やその他の脆弱性に関する情報がありましたら、ぜひトロンフォーラム事務局まで、情報提供をいただきますようお願い申し上げます。
■トロンフォーラム「脆弱性情報特設サイト」
https://www.tron.org/ja/vulnerability/
■米国 Department of Homeland Security
Cybersecurity and Infrastructure Security Agency (CISA)による「URGENT/11」に関する告知
ICS Advisory (ICSA-19-274-01)
Interpeak IPnet TCP/IP Stack
https://www.us-cert.gov/ics/advisories/icsa-19-274-01
■米国ARMIS社による「URGENT/11」に関する告知
https://www.armis.com/urgent11/