日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
パッチなしのゼロ
中国企業 Akuvox の人気のスマート インターコムおよびテレビ電話である E11 には、認証されていないリモート コード実行 (RCE) を可能にする重大なバグを含む、十数の脆弱性が存在します。
これらにより、悪意のある攻撃者が組織のネットワークにアクセスしたり、デバイスで撮影された写真やビデオを盗んだり、カメラやマイクを制御したり、さらにはドアのロックやロック解除を行うことが可能になる可能性があります。
この脆弱性はセキュリティ会社 Claroty の Team82 によって発見され、注目されました。Team82 は、すでに E11 が設置されているオフィスに移動したときにデバイスの弱点に気づきました。
このデバイスに対する Team82 のメンバーの好奇心は本格的な調査となり、13 件の脆弱性が明らかになり、使用された攻撃ベクトルに基づいて 3 つのカテゴリに分類されました。
最初の 2 つのタイプは、ローカル エリア ネットワーク内の RCE、または E11 のカメラとマイクのリモート起動を介して発生する可能性があり、攻撃者がマルチメディア録画を収集して漏洩することを可能にします。 3 番目の攻撃ベクトルは、外部の安全でないファイル転送プロトコル (FTP) サーバーへのアクセスをターゲットにしており、攻撃者は保存されている画像やデータをダウンロードできます。
最も目立ったバグに関して言えば、重大な脅威の 1 つである CVE-2023-0354 (CVSS スコア 9.1) により、ユーザー認証なしで E11 Web サーバーにアクセスでき、攻撃者が機密情報に簡単にアクセスできるようになる可能性があります。
サイバーセキュリティ・インフラセキュリティ庁 (CISA) によると、「Akuvox E11 Web サーバーはユーザー認証なしでアクセスできるため、攻撃者が機密情報にアクセスしたり、既知のデフォルト URL でパケット キャプチャを作成およびダウンロードしたりする可能性があります」 、脆弱性の概要を含むバグに関する勧告を公開しました。
もう 1 つの注目すべき脆弱性 (CVE-2023-0348、CVSS スコア 7.5) は、iOS および Android ユーザーが E11 と対話するためにダウンロードできる SmartPlus モバイル アプリに関するものです。
中心的な問題は、IP ネットワークを介した 2 人以上の参加者間の通信を可能にするオープンソースのセッション開始プロトコル (SIP) のアプリの実装にあります。 SIP サーバーは、SmartPlus ユーザーが特定の E11 に接続する権限を検証しません。つまり、アプリがインストールされている個人は、ファイアウォールの内側にあるユーザーも含め、Web に接続されている任意の E11 に接続できます。
Clarotyのレポートによると、「研究室のインターホンとオフィスの入り口にある別のインターホンを使用してこれをテストした」とのこと。 「各インターコムは、異なるアカウントと異なる関係者に関連付けられています。実際、研究室のアカウントからドアのインターコムに SIP 通話を発信することで、カメラとマイクをアクティブにすることができました。」
Team82 は、2022 年 1 月から脆弱性を Akuvox に知らせようとする試みの概要を説明しましたが、数回の働きかけの後、ベンダーとの Claroty のアカウントはブロックされました。 その後、Team82 はゼロデイ脆弱性の詳細を説明する技術ブログを公開し、CERT コーディネーション センター (CERT/CC) および CISA と協力しました。
E11 を使用している組織は、脆弱性が修正されるまでインターネットから E11 を切断するか、カメラが機密情報を記録できないようにすることをお勧めします。
Claroty のレポートによると、ローカル エリア ネットワーク内では、「企業ネットワークの残りの部分から Akuvox デバイスをセグメント化して分離することが組織に推奨されます」。 「デバイスが独自のネットワーク セグメント上に存在するだけでなく、このセグメントへの通信はエンドポイントの最小限のリストに制限される必要があります。」
デバイスの接続がますます増加する世界では、高度な攻撃者にとって広大な攻撃対象領域が生まれています。
Juniper Research によると、産業用モノのインターネット (IoT) 接続の数だけでも、導入されている IoT デバイスの総数の指標ですが、2020 年の 177 億から 2025 年には 2 倍以上の 368 億に増加すると予想されています。
また、国立標準技術研究所 (NIST) は IoT 通信を暗号化するための標準を決定しましたが、多くのデバイスは依然として脆弱でパッチが適用されていません。