Nozomi Networks Labsは、Annke N48PBBネットワークビデオレコーダー(NVR)のウェブサービスに関連する重大なリモートコード実行(RCE)の脆弱性(CVE-2021-32941)を発見しました。この情報は、勧告ICSA-21-238-02を発表したICS-CERT、および問題を修正するファームウェアをリリースしたベンダーのAnnkeとの協調開示の一部として共有されます。
脆弱性を悪用されると、デバイス自体の機密性、完全性、可用性だけでなく、内部に保存されているデータも失われる可能性があります。その結果、従業員のプライバシーの喪失、貴重な資産に関する機密性の喪失、またはNVRの自由なシャットダウンが発生する可能性があります。
Annke は世界的なセキュリティソリューション企業であり、そのセキュリティカメラおよび NVR は企業および一般家庭で使用されています。Annke N48PBB が使用されているかどうかを確認し、使用されている場合は直ちにパッチを適用し、監視システムを保護することをお勧めします。
この投稿では、最新のIoT セキュリティカメラシステムのサイバーセキュリティリスクを紹介し、Annke N48PBBの脆弱性に関する私たちの研究を説明し、リスクを軽減するための推奨事項を共有します。
ビデオ監視カメラシステムは今やIoT 、それに対応するサイバーリスクもある。
最新のビデオ監視システムは、モノのインターネット(IoT )機器に分類され、企業の物理的セキュリティの基本的な構成要素となっている。
監視システムは、従来のアナログベースのカメラをテレビに直接接続し、磁気テープに録画していたものから、年々大きく進化している。今日、デジタルIP(インターネット・プロトコル)カメラは、他のデスクトップやラップトップと同じようにローカル・コンピューター・ネットワークに接続され、標準的なコンピューター・ストレージにビデオ映像を記録します。そのオーディオ/ビジュアル・ストリームは、多くの場合、インターネット経由で遠隔地から見ることができる。
IoT でよく見られるように、これらのデバイスは一見シンプルだが、より伝統的なネットワーク・デバイスと同じサイバーセキュリティ・リスクに悩まされている。例えば、よく知られているMiraiボットネットは、ルーターやプリンターが標的にされるのと同じようにIPカメラを標的にした。
ネットワークビデオレコーダー入門
NVRは、IoT デバイスの一種で、ローカル・イーサネット・ネットワークに接続し、同じネットワーク内のすべての明示的に設定されたIPカメラからの受信ビデオ・フィードをキャプチャするように設計されています。NVRは通常、大容量のハードディスク(テラバイト単位)またはその他の永久メモリ・ソリューションを搭載しており、ビデオ・コンテンツを数日間保存することができます。
監視用にIPカメラをセットアップする場合、NVRはすべてのビデオ映像の監視と録画のための専用デバイスとして機能します。また、IPカメラ・システム全体の集中管理も行います。
NVRの公開されたウェブ・パネルにアクセスすることで、オペレーターは接続されているすべてのカメラからのライブ・ストリームを見たり、デバイスに保存されているすべてのビデオ・コンテンツを再生したりすることができます。さらに、管理者は、接続されているすべてのカメラに対してメンテナンス操作を実行したり、特定のイベントを検出するために任意のカメラに対してグローバル・アラートを設定したりして、カメラ・システムをリモートで管理することができます。
IoT 防犯カメラシステムに関する懸念
NVRは明らかに強力であり、企業の監視システムに不可欠なコンポーネントです。そのため、犯罪者にとっては非常に魅力的なターゲットでもあります。
攻撃者がNVRに不正アクセスした場合に生じる可能性のある結果のごく一部には、以下のような損失が含まれます:
- 守秘義務:ビデオに記録されたあらゆる個人情報にアクセスしたり、貴重な資産の位置を入手したり、ストーカー行為に及んだりする可能性がある;
- 完全性:望ましくないコンテンツを含むビデオ映像を削除したり、動体検知アラームの設定を変更したりすることができる;
- 可用性:指定したカメラの録画を選択的に停止したり、都合の良い時間にNVRを完全にシャットダウンすることができます。
実際、NVRは重要なネットワーク・ターゲットであり、たった1台のデバイスの侵害がIPカメラ・システム全体のセキュリティに直接影響を与える可能性があるからです。
アンケN48PBB
Annkeは監視システムとソリューションの人気メーカーで、さまざまなIPカメラ、NVR、アクセサリーを製造している。当社の分析では、最大8台のPoE(Power over Ethernet)IPセキュリティカメラの映像を表示・録画できるNVR、N48PBBに焦点を当てました1。
通例、N48PBBはネットワーク・サービスの中でウェブ・アプリケーションを公開し、デバイスや接続されたカメラとのインタラクションを可能にします。例えば、カメラのライブ・ストリームの視聴、再生機能による検索、ユーザーの管理などが可能です。
このウェブ・アプリケーションは、3つの口座タイプを定義している:
- 管理者:この役割には、システム全体の権限があります。
- オペレーター: このロールは、コントロールクライアントとウェブクライアント上のアプリケーション(デフォルトではライブビュー、再生、ローカル設定)を操作するためのすべての権限を持っています。ユーザー作成時にカスタム権限を設定することができます。
- ユーザー:このロールは、限定的なアプリケーション操作権限(デフォルトではライブビュー、再生、限定的なローカル設定)を持つ。この場合も、ユーザー作成時にカスタム権限を設定することができます。
Annke N48PBB NVRの脆弱性の説明
N48PBBの再生機能により、有効なすべてのユーザー(デフォルトではすべてのユーザー)がNVRに保存されたカメラ映像を検索できます。これを行うには、クライアントから次の HTTP リクエストが送信されます:
セキュリティの脆弱性を探してHTTPリクエストのすべての可能なフィールドをファジングしているときに、"AAAAAAAAAAA... "のような任意の文字が末尾に付いた開始時刻を送信すると、デバイスが(HTTPレスポンスを送信することなく)直ちに接続を閉じ、再起動を開始することに気づきました。その後、テストによりこの状態が組織的に再現可能であることが証明され、サービス拒否(DoS)脆弱性が発見された。
この挙動は、根本的なメモリ破壊の問題を強く示唆するものであり、より深刻な影響につながる可能性がある。次に、脆弱な機能を正確に分離し、他の攻撃シナリオの実現可能性を評価するために、デバイスの立場から脆弱性の分析を進めた。
Annkeのウェブ・インターフェースは、デバイス上でSSHサービスの有効化を可能にし、制限された数のコマンドへのアクセスを提供する。完全に制限のないSSHアクセスを得るためには、ハードウェア・レベルに直接介入してシステムを適切にデバッグする必要があった:
- ファームウェアは、デバイスのオンボードメモリに物理的に取り付けることで抽出された。
- ファームウェアは、すべてのSSH制限を無効にし、いくつかのデバッグツール(よく知られているgdbserverなど)を追加するように修正された。
- ファームウェアがデバイスのメモリーに書き換えられた。
これにより、デバイスへの完全無制限のSSHアクセスと、問題の根本原因を突き止めるために必要なオンボードツールへのアクセスが可能になった。
デバイスとのウェブインタラクションに関与するバイナリを特定した後、gdbserverをNVRにアタッチし、IDAでプログラムの実行をデバッグした。最終的に、これは脆弱な関数の発見につながった。入力から受け取った文字列をスタック上の限られたサイズのバッファに書き込むように設定された「sscanf」であり、スタックベースのバッファオーバーフローを引き起こす。以下のスクリーンショットでは、フォーマット文字列が赤でハイライトされ、バッファアドレスがオレンジで示されている。
さらに、関数のリターンアドレス(上図では青で示されている)がバッファのほぼ直後にあり、そのアドレスへのジャンプを実行する前に、カナリア(スタック上のメモリ破壊攻撃を検出するために使用される特別なランダム値)の検証やその他のチェックが行われていないことに気づいた。
ps "の出力をざっと見て、バイナリがデバイスのroot権限、つまりLinuxシステムで可能な限り高い権限で実行されていることがようやく確認された。
つまり、当初はDoSと分類されていたメモリ破壊のバグは、実際にはroot権限によるリモート・コード実行(RCE)の問題である。この脆弱性が悪用されれば、デバイスの完全な侵害につながる可能性がある。
検索機能はデフォルトでデバイスの全ユーザーがアクセス可能であるため、悪意のあるオペレーターまたはユーザーが直接この脆弱性を悪用し、システム上で特権を昇格させる可能性があります(パッチが適用されていないNVRの場合)。
さらに、クロスサイトリクエストフォージェリ(Cross-Site Request Forgery:CSRF)対策の緩和策は機能上発見されなかったため、この脆弱性は「ドライブバイダウンロード」攻撃で外部の攻撃者に間接的に悪用される可能性がある。管理者、オペレーター、またはユーザーが、デバイスのウェブインターフェースにログインしている間に、特別に細工されたウェブページを閲覧すれば十分であり、デバイス自体で外部の悪意のあるコードを実行させる可能性がある。
どちらの場合も、この記事で紹介したすべての影響シナリオを実現することは可能だったはずだ。
アンケはセキュリティ情報開示に素早く対応した
CVE-2021-32941 として追跡されているこの脆弱性は、Nozomi Networks によって 2021 年 7 月 11 日に Annke に責任を持って開示され、同社は問題を修正した新しいファームウェアを 2021 年 7 月 22 日にリリースした。これは特筆すべき迅速な対応であり、我々はAnnke社に拍手を送りたい。サイバー攻撃からデバイスを守るため、ユーザーにはAnnkeのウェブサイトから最新版のファームウェアをダウンロードし、インストールすることをお勧めする。
Nozomi Networks は、脆弱性を悪用しようとする試みを検出するために、Threat Intelligence サービスに特定のアップデートをリリースした。
IoT 防犯カメラのリスクを見逃すな
サイバーリスクは世界中の取締役会にとってトップリスクの一つであり、企業はIT、IoT 、OT 、ビデオカメラの監視システムを含む物理的なセキュリティシステムに監視の対象を広げている。
2020年、世界のビデオ監視市場は450億米ドルを超え、2025年には750億米ドルに成長すると予想されている。インフラ部門(交通、都市監視、公共施設、公益事業など)は、この期間に最も高い成長が見込まれている。 2
Nozomi Networks ラボでは、セキュリティカメラシステム(IoT )のリスクを継続的に調査しています。今年初めには、ReolinkとThroughtekのセキュリティの脆弱性に関する調査結果を発表し、2021年7月のOT/IoT セキュリティレポートでは、このトピックに関するさらなる分析と提言を提供しています。
セキュリティ・カメラ・システムを購入する際には、関連技術のレビューや、ベンダーの管轄区域で適用されるプライバシー法の検討など、慎重なデューデリジェンスを行うよう組織に助言する。さらに、IoT およびOT ネットワーク・モニタリング・ソリューションの導入を推奨する。IoT デバイスの機能は不透明であることが多いが、異常検知技術でネットワークの動作を監視することで、異常な動作を強調するアラートが提供され、潜在的な危害を阻止または軽減するための時間を確保することができる。
当社のOT 、IoT セキュリティおよび可視化ソリューションについてお知りになりたい場合は、当社までご連絡ください。
参考文献
- 「8 Channel 6MP Super HDF PoE Network Video Recorder",Annke.
- 「2016年から2025年にかけての世界のビデオ監視市場の規模 ,"Statista.
