Trellix Lab、IoTデバイス Foscamの脆弱性を調査

Trellix Labでは、調査のためIoTデバイスのハッキングに絶えず取り組んだ当社リサーチャーの様子を収録した新しいビデオシリーズを公開しました。このビデオシリーズは、チームがTrellixでの開示プログラムの中で発見し、ベンダーに報告した新しいゼロデイCVE-2022-28743のリリースで完結しています。技術的な知識や、本質的な詳細にご興味のある方や、または実際にハックする方法を知りたい方は、5部構成のビデオシリーズ(YouTube)をぜひご参照ください。このビデオシリーズでは、この脆弱性を発見したSam Quinnとともに、このIPカメラをハッキングするプロセス全体を動画で説明しています。 

IoT Hardware Hacking Walk-Thru: Part 1
IoT Hardware Hacking Walkthrough: Part 2
IoT Hardware Hacking Walkthrough: Part 3
IoT Hardware Hacking Walkthrough: Part 4

私たちは今、スマートホームの時代にいます。PolicyAdvice保険会社は、米国を拠点とするミレニアル世代の47%が、自宅に少なくとも1つのスマートホーム製品を持っていると主張しています。IoT(モノのインターネット)としても知られる新しいテクノロジーがますます多くの製品と統合されているため、スマートホーム製品を備えた住宅の割合は今後も増えると予想されます。TrellixのThreatLabsチームは最近、そのようなスマートホームデバイスの1つであるFoscamR2CIPカメラを調査しました。 

通常、チームは、新しい研究プロジェクトの調査を開始する前に、ターゲットの選択とレビューを行います。しかし、このプロジェクトは正式なプロセスから始まったものではなく、サムの家に設置して始まったため、興味深いものになりました。ご想像のとおり、研究者の家の中にあるどのテクノロジーも、少し調べて全く安全とはいえません。しかし、カメラが誤動作し始めて初めて、注目を集めました。彼はセキュリティ志向で、この問題にとりかかり、デバイスのソフトウェアが古くなっていることに気付きましたが、Foscamは、他のIoTデバイスにはない多くのセキュリティ対策を兼ね備えていました。最も重要なことして、Foscamがファームウェアアップデートを暗号化して送信することです。これについて、そのセキュリティがどれほど適用されていたかSumは興味を持ち、調査しました。

高度なハードウェアハッキング技術を使用してデバイスを解体して調べた後、Samはついに、認証されたユーザーが特別に細工された「偽の」更新ファイルをアップロードしてカメラのオペレーティングシステムにアクセスできる脆弱性を発見しました。物理的なアクセスを介してカメラのオペレーティングシステムにアクセスできる場合は、ログイン設定をバイパスして、管理者でさえ識別またはブロックできない方法でビデオフィードを含むデバイスも含めて、基本的にデバイスを制御できます。 

非常に競争の激しい市場でシェア率を競っているIoTデバイスは、極端なコスト削減策を講じることが実際起きています。多くの場合、これにより、開発の始めからセキュリティ原則を組み込むために必要である重要な構築の時間が省略されます。しかし、Foscamチームにこの問題の緩和策について報告した時、彼らは私たちのチームに応対し、この脆弱性にパッチが適用されるように協力しました。 

上記の事例からも、ご自身のネットワーク上でデバイスを安全に保つ方法について不安に思われるかもしれません。最初のステップとしては、最初にこれは自分のネットワーク上にある必要があるのか疑問をもつことです。多くの新しい家電製品にはネットワーク接続機能が付属していますが、本当に他のデバイスにリンクされているコーヒーメーカーやトースターが必要でしょうか? もし、ネットワーク上にスマートホームデバイスが必要な場合は、そのデバイスをPCやスマートフォンから分離された、別のネットワーク上に配置することをお勧めします。たとえば、スマートガジェットを、多くのルーターがサポートしているゲストネットワークに配置することで簡単に実現できます。3つめの間違いなく最も簡単な予防策は、デバイスを最新のファームウェアで最新の状態に保つことです。研究チームは、Foscamに注意を促し、その後、Foscamは、この問題を完全に軽減するセキュリティアップデートをリリースしました。デバイスにパッチを適用して最新の状態に保つことは、攻撃者がデバイスにアクセスするのを防ぐための最良の方法です。 Foscam R2Cを所有している場合は、ファームウェアバージョン2.72以降を探してパッチを当てることをお勧めします。 (※ブログ公開時点)

そもそも攻撃者が単純なIPカメラに興味を持った理由は何でしょうか。IPカメラは、 2021年に約10億台使用されていると推測されるだけでなく、従来のIoTデバイスから不十分なセキュリティ機能を引き継いでいることが多いため、攻撃者にとっては格好の標的なのです。通常、簡単に手に入れることのできるといわれているこれらの脆弱性により、侵害されたカメラでカメラフィードを表示できるだけでなく、大規模なボットネット攻撃に使用される可能性があることが過去に示されています。現代のカメラは実際にはミニコンピューターであり、ライブ映像を見る以上のことができるのに十分なパワーとテクノロジーを持っていることを忘れがちです。ライブ映像を見るのが好きで、CVE-2022-28743をもっと詳しく確認したいという方は、このブログ公開時から始まる冒頭でも紹介した5週間のビデオシリーズ(YouTube)をご覧ください。

※本ページの内容は2022年4月21日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Keeping a Critical Eye on IoT Devices
著者: Sam Quinn