複数のサプライヤのハードウェア ビデオ エンコーダーには、認証されていないリモートの悪意のあるユーザーが機器上で任意のコードを実行できる重大なセキュリティ バグがいくつか含まれています。
今週公開された情報開示の中で、Salesforceの主任製品セキュリティエンジニアであるアレクセイ・コジェノフ氏は、Huaweiの子会社であるHiSiliconのhi3520dチップセットを搭載したIPTV/H.264/H.265ビデオエンコーダーに影響を与える一連の脆弱性について説明しました。これらのセキュリティホールは、HiSiliconのシステムオンチップ(SoC)搭載製品向けにHiSiliconが提供するLinuxスタック上で動作するソフトウェア(開発者不明)に存在します。
「これらのデバイスで動作しているアプリケーションソフトウェアに脆弱性が存在します」とコジェノフ氏は投稿で述べています。「すべての脆弱性はリモートから悪用可能であり、機密情報の漏洩、サービス拒否、リモートコード実行につながり、デバイスを完全に乗っ取られる可能性があります。」
重大な脆弱性には、バックドアパスワード付きの管理インターフェース(CVE-2020-24215)、telnet経由のルートアクセス(CVE-2020-24218)、そして悪意のあるコード実行やコマンドインジェクションを可能にする認証されていないファイルのアップロード(CVE-2020-24217)が含まれます。これらはすべて、ネットワークまたはインターネット経由で悪用され、脆弱な機器を乗っ取られる可能性があります。コジェノフ氏はまた、深刻度が高および中程度の脆弱性についても指摘しました。バッファオーバーフロー(CVE-2020-24214)は機器の正常な動作を阻害し、RTSPビデオストリームに不正にアクセスする方法(CVE-2020-24216)は認証なしでアクセス可能となります。
Huaweiは、これらの脆弱性はHiSiliconチップや、同社製コンポーネントを使用するメーカーに提供しているSDKコードに起因するものではないと主張しています。もしそうであれば、これらのビデオエンコーダデバイスのメーカーに、脆弱性だらけのアプリケーションソフトウェアを誰かが提供し、そのコードが機器に同梱されていたということになります。これらの製品はすべて、たまたまhi3520dチップセットを使用しているだけです。
ファーウェイの広報担当者は、 The Register宛ての電子メールとオンラインに掲載された声明の中で、「2020年9月16日にHiSilicon製ビデオ監視チップにおけるセキュリティ問題の疑い(CVE-2020-24214、CVE-2020-24215、CVE-2020-24216、CVE-2020-24217、CVE-2020-24218、CVE-2020-24219)に関するメディア報道を受け、ファーウェイは直ちに調査を開始しました。技術分析の結果、これらの脆弱性はいずれもHiSilicon製チップおよびSDKパッケージに起因するものではないことが確認されました。ファーウェイは、セキュリティ研究エコシステムに関わるすべての組織および個人による協調的な脆弱性開示を支持し、関係者への影響を軽減します。」と述べました。
技術分析の結果、これらの脆弱性はHiSiliconのチップとSDKパッケージによってもたらされたものではないことが確認されました。
ファーウェイは、報告書で言及されている脆弱性はすべて、機器ベンダーが提供するアプリケーション層に存在すると述べた。「これらの脆弱性は、ハイシリコンが提供するチップやSDKによってもたらされたものではない」と、中国の巨大企業である同社は述べた。
CMU の CERT コーディネーション センターは、脆弱性は HiSilicon の部品を使用しているさまざまなメーカーのデバイス上で実行されているさまざまなネットワーク サービスに存在し、不十分な入力検証やハードコードされた認証情報などのソフトウェア バグの結果であると述べています。
エンコーダーは、IP ネットワーク経由でビデオをストリーミングし、YouTube などのサービスを通じて配信するために、または RTSP または HLS ストリームとして Web ベースまたはアプリベースのビデオ プレーヤーで直接表示するために、H.264 や H.265 などの圧縮標準を使用して生のビデオ信号をデジタル ビデオに変換するために使用されます。
コジェノフ氏は、URayTech、J-Tech Digital、Pro Video Instrumentsのビデオエンコーダを解析した結果、これらのデバイスが報告されている脆弱性の一部またはすべてに脆弱であることが判明したと述べています。また、同じシステムオンチップをベースにした製品を提供している他の複数のベンダーも特定しており、これらのベンダーにも脆弱性の一部またはすべてが存在する可能性があると考えています。これには、Network Technologies Incorporated、Oupree、MINE Technology、Blankom、ISEEVY、Orivison、WorldKast/procoder、Digicastの製品が含まれます。
中国スーパーマイクロ社のスーパースパイチップスキャンダルを解読: 私たちは何を知っているのか? そして誰が真実を語っているのか?
続きを読む
コジェノフ氏は、複数のベンダーに通知したが、Pro Video Instruments社のみが通知を真剣に受け止め、対応してくれたと述べた。ほとんどのベンダーはまだこれらの脆弱性に対する修正プログラムをリリースしていないという。パッチがリリースされていない状況では、ネットワーク管理者は影響を受けるデバイスがファイアウォールの背後に配置され、外部に公開されたポートがないこと、そして信頼できないアクセスをブロックするルールが適用されていることを確認するようアドバイスしている。
彼は、セキュリティ重視の検索サービス shodan.io を使用して、潜在的に脆弱なデバイスを数百個見つけることができ、これらの公開されているエンコーダーはすべてインターネット経由で悪用可能であると予想しています。
「ほとんどの脆弱性は意図的なものではない(つまりコーディングミス)ようですが、その中でも特に目立つのが1つあります」とコジェノフ氏は述べた。「ハードコードされたパスワードは、意図的なバックドアなのです。」
The Registerへのメッセージの中で、彼はTelnetの脆弱性を除くすべての脆弱性は、これらのデバイスのソフトウェアに含まれる単一の実行可能プログラムに存在すると述べた。「これらのデバイスを製造・販売するベンダーが、この脆弱性をどの程度コントロールできるのかは分かりません」と彼は述べた。「ベンダーがプログラムのソースコードを保有しているのか、それともバイナリ形式で配布されているのか、私には分かりません。」
Huaweiの説明を額面通りに受け取ると、複雑な製造サプライチェーンのどこで問題が発生したのか疑問に思う。コジェノフ氏が報告書で示唆しているように、欠陥のほとんどは意図しないコーディングミスによるものと思われる。これらの問題がどこで発生し、誰が責任を負うのかが明確でないという事実は、バグ自体がもたらす具体的なリスクと同じくらい懸念すべき点である。
ファーウェイは、セキュリティ強化に向けて取り組みたいと主張している。
ハイシリコンは、ビデオ監視機器のサプライチェーンの重要な一翼を担う企業として、報告書で言及されている脆弱性によってもたらされるサイバーセキュリティリスクへの協調的な対応を通じて、下流の機器ベンダーや研究者と協力し、エンドユーザーの利益を保護する用意がある」と、このテクノロジーの巨人は結論付けている。®
