研究者は、DDoS – IoT機関砲のための新鮮な素材を発見

今週発表された新しい研究によると、安全性の低いInternet of Things(IoT)デバイスを奴隷化するマルウェアであるMiraiに対して、強力な攻撃のための新鮮な素材がたくさん提供される可能性があることが判明した。 オーストリアの研究者は、ソニーの80種類以上のIPカメラモデルで、一対のバックドア・アカウントを発見した。

これとは別に、イスラエルのセキュリティ専門家は、現在Miraiが探し求めていない約50万個のホワイトラベル付きIPカメラモデルで、悪用可能な弱点を発見しました。

オーストリアのセキュリティ会社、SEC Consultは、本日発表されたブログ記事で、Sony IPELA Engine IPカメラ(主に企業や当局が使用するデバイス)に2つの明らかなバックドア・アカウントがあると述べている。

SEC Consultによれば、以前に文書化されていなかった2つのユーザアカウント「primana」と「debug」は、遠隔の攻撃者がこれらのデバイスに組み込まれたWebサーバを召喚し、それらに「telnet」を有効にするために使用することができます。

Telnetは、インターネット経由でのリモートログオンを可能にするプロトコルで、Miraiが酷使しているのと全く同じ通信方法で、工場出荷時のデフォルトパスワードでTelnetを有効にして保護されたIoTデバイスのWebを絶えず探します。

「このバックドアは、ソニーの開発者が意図的に(開発中や工場の機能テスト中にデバイスをデバッグするための手段として)導入されたものであり、他のケースのような「不正な第三者」ではないと考えています(例えば、Juniper ScreenOS Backdoor、CVE- 2015-7755)、 “SEC Consultが書いた。

ソニーのIPカメラがどれくらいの脆弱性を持つかははっきりしていませんが、Censys.ioを使ったWebスキャンは、インターネット上で現在到達可能な4,250以上があることを示しています。

「ソニーIPELA ENGINE IPカメラデバイスは、インターネット上で確実に到達可能であり、未来のボットネットのターゲットになる可能性がありますが、もちろんネットワーク/ファイアウォールの設定にも依存します」とSEC Consult Vulnerability LabのJohannes Greil 「私たちの視点からすれば、これは氷山の一角にすぎません。なぜなら、それは私たちが持っている装置からの唯一の検索文字列だからです。」

しかし、Cyber​​easonのチームは、ファイアウォールの背後に設置されていても簡単にこれらのデバイスを利用できることを発見しました。これは、これらのカメラには工場出荷時のデフォルトのピアツーピア(P2P)通信機能が搭載されているため、製造元のWebサイトからリモートの「クラウド」アクセスが可能になります。顧客がサイトにアクセスし、デバイスの底面に刻印されています。

Cyber​​easonの主任セキュリティ研究者であるAmit Serperは、攻撃者が脆弱なデバイスに物理的にアクセスする必要があるように見えるかもしれないが、同社のWebサイトを使用してすべてのカメラIDを列挙する簡単な方法を見つけ出したという。

Serper氏は、「これらのカメラをリバースエンジニアリングして、製造元のインフラストラクチャを利用してアクセスし、必要なものを実行できるようにしました。 「同社独自のクラウドネットワークを使用して、そこから顧客のネットワークに飛び込むことができます。

Cyber​​easonの共同設立者兼CEOであるLior Divは、これらのデバイスに組み込まれているコードをレビューすることで、製造元がセキュリティを最優先にしているようではなく、これらのデバイスを使用している人は単にゴミ箱に投げ捨てるべきだ、と語った。

「これらのカメラにはファームウェアのアップデートメカニズムが組み込まれていないため、パッチを当てる方法はありません」とDiv氏は述べています。 「これらのデバイス上で実行されているLinuxのバージョンは14年で、デバイス上の他のコードライブラリもまるで古くなっています。 これらのデバイスはセキュリティの観点から絶望的に壊れているため、人々の心の中で起こっていることを本当に理解することは難しい」

Cybereasonは、欠陥の完全な技術的詳細を明らかにしていないと言いました。攻撃者がオンライン攻撃に使用するために攻撃者を侵害する可能性があるからです。 しかし、顧客が脆弱なデバイスを持っているかどうかを判断するのに役立つヒントをいくつか公開しています。 たとえば、カメラのパスワード(888888)はデバイスの下部にあるステッカーに印刷され、UID(ステッカーにも印刷されます)は次のいずれかの文字列で始まります。

Cyber​​easonのYoav Orot氏は、調査結果についてブログ記事に書いた。「人々はIoTの研究を見下ろし、それを迷惑なハッキングと呼ぶ傾向があります。しかし、将来の未来のボットネット攻撃を防ぐことを望むなら、それは正しいアプローチではない。スマート(ここにデバイスを挿入)は、サイズにかかわらず、依然としてコンピュータです。これにはプロセッサ、ソフトウェア、ハードウェアがあり、ノートパソコンやデスクトップのようなマルウェアに対する脆弱性があります。

デバイスがThe Walking Deadを記録している場合でも、仕事中に猫を見ることができる場合でも、攻撃者はそれを所有することができます。研究者は、デバイスのセキュリティ(およびそのプロセスにおける消費者のセキュリティ)を向上させ、消費者製品をゴミヒープから守り、DDoS攻撃の実行に使用されないようにするため、迷惑ハッキングに取り組む必要があります。

SEC ConsultとCybereasonの発見を受けて、ワシントンD.C.の政策立案者は、既存および今後急激な増加が見込まれる安全性の低いIoTデバイスについて何をすべきかと取り組んでいる。

オバマ大統領により任命されたブルーリボン委員会は、先週90ページのレポートを発行したが、その内容は第45代米国大統領のためのサイバーセキュリティ政策勧告が主体であり、IoTの懸念と分散型サービス拒否攻撃(DDoS)への対応が最優先課題として急浮上しているとしている。

Morning Consultによると、米国連邦通信委員会委員長のTom Wheeler氏は、IoTデバイスのセキュリティを規制する予期せぬロードマップを策定したと報じている。

提案された認証プロセスは、インターネットインフラストラクチャ企業Dynを対象とし、数多くの最上階のWebサービスをオフラインに追いやった10月のIoTベースの攻撃の直後にMark Warner(D-Va。)上院議員から送られた手紙への返信として作成されたものである。

Morning ConsultのBrendan Bordelon氏は、Wheeler氏は1月20日に会長に辞任する予定であるが、「新しい枠組みは、IoT機器を規制するFCCの能力を強化する法律を支持するために使用できる」と述べている。

参照:
https://krebsonsecurity.com/2016/12/researchers-find-fresh-fodder-for-iot-attack-cannons/#more-37183