広く使用されている「gSOAP」ライブラリに存在する脆弱性により、セキュリティカメラなど何百万台ものIoT端末がリモート攻撃の脅威にさらされているという。
IoTセキュリティ企業Senrioの研究者がスタックバッファオーバーフローの脆弱性「Devil's Ivy」を発見したのは、Axis Communicationsのドーム型カメラ「M3004」のリモート設定サービスを検査していたときだ。この脆弱性は、大容量のXMLファイルを脆弱なシステムのウェブサーバに送信するときに発生する。
この脆弱性自体はgSOAP内に存在する。gSOAPはGeniviaが提供するオープンソースのウェブサービスライブラリだ。Senrioの研究チームはこの脆弱性を使って、カメラを再起動したり、ネットワーク設定を変更して、所有者がビデオフィードを閲覧するのをブロックしたりすることに成功した。
同チームは、カメラを工場出荷時状態にリセットすることにも成功した。これを実行することで、攻撃者は認証情報を変更して、カメラフィードへの排他的アクセスを得ることができる。
Axis Communicationsは、同社の監視カメラ249機種がこの脆弱性(「CVE-2017-9765」)の影響を受けることを認めた。同社は現地時間7月10日にファームウェアアップデートをリリースして、この問題に対応済みという。
Senrioによると、7月1日の時点で、インターネット上で約1万4000台のAxisカメラが無防備な状態にあったという。
しかしSenrioが指摘するように、gSOAPは広く使用されているので、この脆弱性はAxis通信キットのみにとどまらず、さまざまな端末が影響を受ける可能性もある。Geniviaの顧客には、AdobeやIBM、Microsoft、Xeroxが含まれる。Geniviaによると、gSOAPはこれまでに100万回以上ダウンロードされたという。Geniviaは、6月21日にgSOAPのパッチをリリースしている。
このバグは、パッチが適用されない状態が一定期間続く可能性が高いという。Senrioは、「われわれがこの脆弱性をDevil's Ivy(ポトス)と名付けたのは、植物のポトスと同様、この脆弱性も殺すのが不可能に近く、コードの再利用を通して迅速に拡散するからだ」と述べた。
提供:Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
