IoT検索エンジンのZoomEyeは、Dahua社のデジタルビデオレコーダーデバイス数万台のログインパスワードをキャッシュし、ウェブ上で公開した。そのため、最も愚かなハッカーでもパッチ未適用のキットを解読できる。
「IoTデバイスのハッキングの容易さは、かつてないほど低くなりました」と、ニュースカイ・セキュリティの主任研究員アンキット・アヌバフ氏は述べた。「Dahuaデバイスに接続しなくても、認証情報を入手できるようになります。」
多くの Dahua DVR デバイスは、5 年前のファームウェアベースの脆弱性 (CVE-2013-6117) を悪用されて乗っ取られる可能性があります。
この特定のセキュリティ上の欠陥は、安全でない IoT デバイスをブロックしてユーザーにセキュリティ更新を適用させようとする BrickerBot IoT マルウェアの作成者によってここ数か月間使用されてきた数多くの欠陥の 1 つです。
簡単に言うと、この脆弱性は次のように悪用される可能性があります。インターネット経由でDahua DVRのTCPポート37777に接続し、認証なしで、機器のシリアル番号、設定、パスワードを含むバイナリBLOBを吐き出すように要求します。これらの詳細情報があれば、デバイスのWebベースのコントロールパネルにリモートログインし、録画されたカメラ映像を通じて所有者をスパイしたり、その他の悪質な行為を行ったりすることができます。
ZoomEyeは、インターネットに接続されたDahua DVRをパブリックIPアドレスでインデックス化するだけでなく、デバイスのパスワードを取得するために必要なリクエストをポート37777に送信し、world-plus-dogが閲覧・使用できるようにキャッシュします。つまり、Shodan.ioなどの競合検索エンジンよりも一歩進んだ脆弱性を悪用しているようです。
このキャッシュされた情報は、スキルのないハッカーがリモートで脆弱な録画デバイスを乗っ取って悪用するのに十分です。
クズどもの生活をシンプルにする
アヌバフ氏は、中国に拠点を置くと思われるZoomEyeによって、Dahua製DVRデバイスの脆弱性の探索と悪用が劇的に簡素化されたと主張した。ZoomEyeのセキュリティチームの主任開発者であるHeige氏は、スクリプトキディにとって有用な検索結果を難読化する意図があるかどうかについて、 El Reg社からの質問に直接回答していない。
IoT機器、オルゴール、スマートホームキットはDNSリバインディング攻撃に対して脆弱ですか?確認方法はこちら
続きを読む
根本的な脆弱性は5年前から存在しているにもかかわらず、ZoomEyeで簡単な検索クエリを実行するだけで、悪用される可能性のあるDahua製DVRが数千台も見つかります。Dahuaは、安全でない機器を販売することに満足しているようで、顧客がパッチを適用して安全を確保できるように支援しようとはしていないようです。
Mirai IoTボットネットが多くの有名サイトをアクセス不能に陥れた攻撃からほぼ2年が経ち、この痛ましい事件は、IoTデバイスの悪用がいかに容易になったかを如実に物語っています。この攻撃は、抜本的な変革を促すかもしれないと一部で考えられていました。アヌバフ氏は、最低限のセキュリティ基準を課すための規制を支持しています。
「デバイスがインターネットに接続されるとすぐにファームウェアにパッチを自動的にプッシュできるようなアップデート機能を備えるよう、厳格な規制を施行すべきだ」とアヌバブ氏はThe Registerに語った。
IoTデバイスに強力なパスワードが設定され、更新されていれば、問題の大部分は解決されるはずです。ゼロデイ攻撃は今後も発生するでしょうが、IoT攻撃者のほとんどは既知のパスワードやエクスプロイトを使ってハッキングを行い、その試みは失敗に終わるでしょう。
El Regは、中国に本社を置くDahua社に対し、脆弱なデバイスへのセキュリティアップデートの自動プッシュが、この混乱から抜け出す最善の方法となるかどうかについてコメントを求めました。メーカーからの回答はまだありませんが、詳細が分かり次第、この記事を更新します。®
