保護されたモノのインターネット (IoT) デバイスに重点を置くセキュリティ企業 VDOO は、攻撃者がデバイスに対するエクスプロイト チェーンを作成するために使用できる可能性のある、Axis 監視企業における複数の欠陥を発見しました。
VDOOが監視カメラの盗聴を分析
VDOOは過去数ヶ月にわたり、複数のベンダーの監視カメラを分析し、セキュリティ上の欠陥がないか調査してきました。同社は、この調査は効率性と透明性の向上を目的としてベンダーと共同で実施したと述べています。
当然のことながら、VDOOの研究者たちは、複数のベンダーのデバイスに複数のゼロデイ脆弱性を発見しました。VDOOはベンダーと協調的な情報開示プロセスに合意しており、各ベンダーの脆弱性はそれぞれの情報開示スケジュールに合わせて公開されます。
影響を受ける 390 軸カメラモデル
Axis Communicationsは、「重大な脆弱性の連鎖」の影響を受けたデバイスを提供するベンダーの一つです。攻撃者はこれらの脆弱性を悪用し、カメラのIPアドレスのみを知りながら、Axisカメラをリモートで乗っ取ることができました。
VDOO によれば、攻撃者は Axis カメラで見つかった 3 つの脆弱性を利用して、次のことを行う可能性があります。
- カメラのビデオストリームへのアクセス
- カメラのビデオストリームをフリーズする
- カメラを操作する - レンズを目的のポイントに動かしたり、モーション検出をオン/オフにしたりします
- カメラをボットネットに追加する
- カメラのソフトウェアを変更する
- カメラをネットワークの侵入ポイントとして利用する(横方向の移動を行う)
- カメラを使えなくする
- カメラを使用してその他の不正なタスクを実行する(DDoS攻撃、ビットコインマイニングなど)
VDOOは、Axis製のカメラ390機種がこの方法で悪用される可能性があることを発見しました。同社は、これらの脆弱性が現場で悪用された事例は確認されていないと述べています。Axisはこれらのカメラすべてに対してファームウェアのアップデート版をリリースしたようですので、これらのカメラをお持ちの方は直ちにアップデートしてください。
VDOO はまた、監視カメラメーカーに対し、デバイスが単一のバグで簡単に悪用されないようにファームウェアの各部分に付与する権限を最小限に抑えること、攻撃者が特殊文字を使用してシステムを乗っ取ることができないようにすべての入力を適切にサニタイズすること、シェル スクリプトの使用を最小限に抑えること、攻撃者がファームウェアのバグを分析しないようにデバイスのファームウェアを暗号化することを推奨しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
