Johnson ControlsのSoftware House iStar Pro Door Controllerにおいて、重要機能に対する認証が欠如している脆弱性が発見された。この問題は全てのバージョンに影響を及ぼし、CVE-2024-32752として正式に登録されている^[1]。当該脆弱性を悪用されると、攻撃者が中間者攻撃を介して構成変更コマンドを挿入したり、手動でドア制御コマンドを実行したりすることが可能となる。^[1]

本製品はすでにサポートが終了しているため、脆弱性を修正するためのアップデートは提供されない。そのため、対策としてGCMボード上の物理ディップスイッチを利用し、ICUツールへの通信をブロックするワークアラウンドが推奨されている。この脆弱性は物理的なセキュリティを脅かす深刻な問題であり、Johnson Controlsが提供する情報を参考に、適切な対策を講じることが不可欠となる。

iStar Pro Door Controllerとは？

iStar Pro Door Controllerは、Johnson Controlsが提供する物理的なアクセスコントロールシステム。主に企業や組織で使用され、ドアの開閉やアクセス権限の管理を行うためのハードウェアデバイス。このデバイスは高度なセキュリティ機能を備えており、建物内外のアクセス管理を強化するために使用される。

おすすめのPython研修一覧

Python研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Python研修の一覧を見る

おすすめのDX研修一覧

DX研修を提供しているおすすめの企業・法人を一覧で掲載しております。

DX研修の一覧を見る

おすすめのJava研修一覧

Java研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Java研修の一覧を見る

おすすめのJavaScript研修一覧

JavaScript研修を提供しているおすすめの企業・法人を一覧で掲載しております。

JavaScript研修の一覧を見る

認証の欠如による影響と対策

今回発見された脆弱性は、CWE-306「重要な機能に対する認証の欠如」として分類されており、CVE-2024-32752として登録されている。この脆弱性を悪用されると、攻撃者が中間者攻撃を実行し、構成を変更するコマンドを挿入したり、手動でドア制御コマンドを実行したりすることが可能となる。

この脆弱性に対する具体的な対策として、GCMボード上のS4というラベルの付いた物理ディップスイッチを利用してICUツールへの通信をブロックすることが推奨されている。製品は既にサポート終了となっており、修正アップデートは提供されない。

trends編集部「K」の一言

iStar Pro Door Controllerの脆弱性は、物理的なセキュリティを大きく損なう可能性を秘めている。認証の欠如という基本的なセキュリティ機能の不備は、攻撃者にとって非常に魅力的な標的となり得る。このような事態を防ぐためには、製品の設計段階から徹底したセキュリティ対策を講じることが不可欠。

エンジニアの立場から見ると、製品のライフサイクル全体を通じてセキュリティを維持することの重要性が浮き彫りとなる。特に、サポート終了後の製品に対するセキュリティ対策の在り方について、業界全体で再考する必要がある。今回の事例を教訓に、より強固なセキュリティ設計と長期的なサポート体制の構築が求められることになる。

References

^ JVN. 「JVNVU#98306596: Johnson Controls製Software House iStar Pro Door Controllerにおける重要な機能に対する認証の欠如に関する脆弱性」. https://jvn.jp/vu/JVNVU98306596/index.html, (参照 24-06-24).

※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。