Cnspec を使用して PLCnext コントロールの古いファームウェアと構成ミスを検出する方法

例として、Phonix Contact の PLCnext Control AXC F 2125 を取り上げます。これは、ARM Cortex-A9 プロセッサをベースにしており、IEC 61131 ランタイムシステムを備えています。 Cnspec は、Linux ベースの PLCnext Control をスキャンして古いファームウェアや構成ミスを検出するためのさまざまなオプションを提供するオープンソースツールです。このガイドでは、cnspec SSH プロバイダー経由で PLCnext コントロールをスキャンするための段階的な手順を説明します。

<オル>

cnspec をノートブックにインストールします (インストールガイド)

次のコマンドを実行して、接続をテストし、PLCnext コントロールへの cnspec シェルを確立します。

cnspec shell ssh admin@192.168.1.10 --ask-pass

cnspec シェル内で次の MQL コマンドを実行します。

file("/etc/plcnext/arpversion").content

ご覧のとおり、SSH 経由で PLCnext コントロールに接続でき、最初の MQL コマンドを実行できました。

→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 ___ _ __ ___ _ __ ___ ___ 
 / __| '_ \/ __| '_ \ / _ \/ __|
| (__| | | \__ \ |_) | __/ (__ 
 \___|_| |_|___/ .__/ \___|\___|
 mondoo™ |_| 
cnspec&gt; file("/etc/plcnext/arpversion").content
file.content: "Arpversion: 23.0.0.65
GIT Commit Hash: d755854b5b21ecb8dca26b0a560e6842a0c638d7
Build Job: \"jenkins-PLCnext-Yocto_Targets-Yocto_AXCF2152-release%2F23.0.x-65\"
"

<オル>

PLCnext テクノロジーポリシーをパブリック cnspec-policies リポジトリからダウンロードし、次のコマンドを実行して基本的なセキュリティチェックを実行します。

git clone https://github.com/mondoohq/cnspec-policies
Cloning into 'cnspec-policies'...
remote: Enumerating objects: 1075, done.
remote: Counting objects: 100% (149/149), done.
remote: Compressing objects: 100% (84/84), done.
remote: Total 1075 (delta 75), reused 115 (delta 61), pack-reused 926
Receiving objects: 100% (1075/1075), 699.81 KiB | 402.00 KiB/s, done.
Resolving deltas: 100% (690/690), done.

次のコマンドを実行して、SSH 経由で PLCnext コントロール上で完全なセキュリティスキャンを実行します。

cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass

完全な出力は次のようになります。

cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass
→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ using service account credentials
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 axcf2152 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 100% score: F
Asset: axcf2152
---------------
Controls:
✕ Fail: Ensure SSH MaxAuthTries is set to 4 or less
✓ Pass: Ensure secure permissions on SSH public host key files are set
✓ Pass: Ensure only strong MAC algorithms are used
✓ Pass: Ensure only strong ciphers are used
✓ Pass: Ensure SSH IgnoreRhosts is enabled
✓ Pass: Ensure SSH Idle Timeout Interval is configured
✕ Fail: Ensure SSH password authentication is disabled
✓ Pass: Ensure current system time is synchronized
✓ Pass: Ensure only strong Key Exchange algorithms are used
✓ Pass: Ensure SSH LoginGraceTime is set to one minute or less
✓ Pass: Ensure SSH Protocol is set to 2
✓ Pass: Ensure SSH root login is disabled or set to prohibit-password
✓ Pass: Ensure SSH LogLevel is appropriate
✓ Pass: Ensure SSH PermitUserEnvironment is disabled
✓ Pass: Ensure SSH HostbasedAuthentication is disabled
✓ Pass: Ensure SSH access is limited
✓ Pass: Ensure secure permissions on SSH private host key files are set
✓ Pass: Ensure SSH warning banner is configured
✕ Fail: Ensure Firewall is active
✓ Pass: Ensure SSH PermitEmptyPasswords is disabled
✓ Pass: Ensure SSH X11 forwarding is disabled
✓ Pass: Ensure latest PLCnext Firmware is installed
Scanned 1 assets
For detailed output, run this scan with "-o full".

オープンソースの cnspec セキュリティソリューションは、IT システムと OT システムの両方にわたる脆弱性と構成ミスを特定するための包括的なアプローチを提供します。システムを定期的にスキャンすることで、問題が発生する前に潜在的なセキュリティ問題を事前に特定して修正できます。

注:

Makers Blog には、フエニックス・コンタクトによってテストまたはレビューされていないアプリケーションとコミュニティメンバーのユーザーストーリーが表示されます。ご自身の責任で使用してください。

CHARX コントロール SEC3xxx の evcc.io を使用したシームレスなソーラー EV 充電 PLCnext Control での OPC UA クライアントの構成:ステップバイステップガイド

産業技術