USBで接続されたデスクトップスピーカーが、リモートからのシステム侵害経路へと変貌することが明らかになりました。セキュリティ専門家のRasmus Mooratsは、広く普及しているSound Blaster Katana V2Xサウンドバーに深刻な欠陥を発見しました。この設計上の欠陥により、未認証の攻撃者がBluetooth経由でカスタムファームウェアを書き込むことが可能となります。さらに攻撃者は、ハードウェアに物理的に触れることなく、接続されたホストPCで任意のコマンドを実行できます。
独自プロトコルの偶然の発見
この脆弱性は、まったくの偶然から発見されました。MooratsはSound Blaster Katana V2Xを入手した後、デバイスとワークステーション間でやり取りされるテレメトリーを解析しようとしました。その調査の過程で、Creative Transport Protocol(CTP)という独自プロトコルが明らかになりました。このフレームワークは、アンビエントライティング、イコライザー設定、補助機能などを制御しています。
欠陥の分析により、不正なBluetoothデバイスであれば認証なしにサウンドバーへ接続できることが判明しました。さらに、事前のペアリング手順も完全にバイパスされます。加えて、プロトコル内の特定コマンドを使用すると、任意のファームウェアをアップロードできます。メーカーがバイナリに暗号署名を施していなかったため、デバイスは改ざんされたコードを問題なく受け入れてしまいます。
リアルタイムOSを悪用したセキュリティ制御のバイパス
研究者はまず、無害なペイロードを展開しました。このスクリプトはデバイスの内蔵ディスプレイに「patched」という文字を表示するだけのものです。続いて、デバイスを制御するリアルタイムOS「FreeRTOS」の調査へと移りました。その環境内で、Human Interface Device(HID)エミュレーション向けに設計された休眠状態のライブラリを発見しました。HIDとは、キーボードやマウスといった標準入力デバイスを指します。
デフォルトでは、HIDの設定は再生トグルや音量調整といった基本操作に限定されていました。しかしMooratsは、デバイスのUSBディスクリプタを体系的に書き換え、完全なキーボードエミュレーションを有効化しました。その結果、OSはこのオーディオ周辺機器を補助入力デバイスとして認識するようになりました。この改変により、サウンドバーは任意のキーストロークをネイティブに送信できるようになりました。
キーストロークチェーンの組み立て
その後の一連の動作は、論理的かつ確実に展開しました。Mooratsはリモートのデバイスからスピーカーへ命令を送信しました。スピーカーは新たに獲得したキーボード機能を使い、ホストPCのターミナルにコマンドを注入しました。このワイヤレス経由の手法により、研究者はファームウェアの更新、コールドリブートの実行、そして接続されたマシンでの診断文字列 echo pwned の実行に成功しました。
この概念実証では無害な文字列が使われましたが、悪意ある攻撃者であれば管理者権限のPowerShellターミナルを簡単に起動できます。そこから高度なペイロードをダウンロードしてネットワークを侵害することも可能です。さらに、悪意あるファームウェアイメージによって将来の更新メカニズムを恒久的に無効化することもでき、マルウェアを修復不能な状態にしてしまう恐れがあります。
常時稼働するワイヤレス脆弱性
この脆弱性をさらに深刻にしているのは、Bluetoothトランシーバーが常時稼働している点です。デバイスが低電力のスリープ状態にあるときも、無線通信は継続されます。さらに、無線インターフェースを完全に無効化するネイティブな手段が、システムには存在しません。
有線USB経由のデータ転送には名目上の暗号ハンドシェイクが存在しますが、その防御は根本的に脆弱であることが証明されました。必要なチャレンジ・レスポンスキーは、付属のデスクトップソフトウェアから直接抽出できます。一方、Bluetoothインターフェース経由の接続では、この検証レイヤーが完全に存在しません。
メーカーの無対応と攻撃範囲の限界
研究者はまず発見内容をCreative Technologyに報告しましたが、完全に無視されました。CERT Singaporeの介入を経て、ようやくメーカーが正式に回答しました。しかし驚くべきことに、同社はこの動作を対応が必要なセキュリティ脆弱性とは見なさないと主張しました。
この攻撃ベクターはBluetooth信号を傍受するために物理的な近接を必要とするため、インターネット経由で遠隔から実行することはできません。攻撃者は隣のオフィス、隣室、あるいは同じ部屋にいる必要があります。それでも、この発見は、審査を受けていないオーディオ機器が予期せぬシステム侵害の足がかりになりえることを示しています。そして、他にも同様の見えない脆弱性を抱えるワイヤレスデバイスがどれほど存在するのかという、重大な問いを投げかけています。
翻訳元: https://meterpreter.org/sound-blaster-security-flaw/
