さらに別の IoT デバイス ベンダーが、基本的なセキュリティ上の欠陥により自社製品を攻撃者にさらしていることが判明しました。
今回は、中国の監視カメラメーカーであるXiongmaiが、SEC Consultの研究者によって今週、XMEye P2Pクラウドサービスのセキュリティの脆弱性を指摘され、非難されました。研究者が指摘した問題点の中には、デフォルトの認証情報の漏洩や、署名のないファームウェアアップデートがサービス経由で配信される可能性などがありました。
その結果、カメラが侵害され、所有者のスパイ、ボットネットの指示の実行、さらには大規模なネットワーク侵入の入り口として使用されるなど、あらゆる目的で使用される可能性があると SEC Consult は警告している。
SEC Consultは「XiongmaiおよびXiongmai OEMデバイスの使用を全面的に中止することを推奨する」と勧告した。
同社は、Miraiをはじめとする様々なIoTボットネットへの関与を含め、セキュリティ面での実績が乏しい。2017年に公開された脆弱性は、最新のファームウェアバージョンでも未だ修正されていない。
デフォルトで有効になっている P2P クラウド サービスを使用すると、ユーザーは Web ブラウザーまたは iOS/Android アプリを介してデバイスにリモート接続し、ローカル ネットワーク接続を必要とせずにハードウェアを制御できます。
Mirai、Mirai、全員をpwnして、全体で最も強力なボットネットは誰ですか?
続きを読む
残念ながら、SEC Consult の説明によると、暗号化されていない接続やデフォルトのパスワード (所有者はデバイスの設定時にデフォルトを変更する必要がない) など、デバイス自体とサービスの両方に欠陥があるため、多くの場合、カメラにアクセスして侵入するのは簡単なことであるという。
さらに、SEC Consult は、Xiongmai デバイスではファームウェア アップデートに署名する必要がないため、攻撃者がマルウェアを含んだファームウェア アップデートをインストールしてボットネットを構築したり、ローカル ネットワークにさらなる攻撃を仕掛けたりする可能性があると指摘しています。
「これは、ファームウェア更新に含まれるファイルシステムを変更するか、ファームウェア更新ファイル内の「InstallDesc」ファイルを変更することで可能になる」と研究者らは説明している。
「「InstallDesc」は、更新中に実行されるコマンドを含むテキスト ファイルです。」
それに加え、SEC Consult は、Xiongmai がセキュリティ警告を無視し、基本的な予防措置を講じなかったと非難している。
調査会社Xiongmaiは、同社への最新の警告が無視されただけでなく、悪名高いMiraiボットネットの餌食となっていた時代まで遡る、セキュリティ上の欠陥を抱える歴史があると主張しています。そのため、研究者は企業に対し、XiongmaiハードウェアをベースにしたOEMハードウェアの使用を中止するよう勧告しています。これらのデバイスは、Webインターフェース、エラーページ、またはEMEyeサービスを宣伝する製品ページで識別できます。®
