数百万台のSharkロボット掃除機に未パッチのリモートコード実行の脆弱性

インターネット接続機能を備えたSharkのロボット掃除機数百万台が、深刻なリモートコード実行(RCE)の脆弱性の影響を受ける可能性があることがわかりました。この脆弱性を悪用されると、攻撃者にデバイスを遠隔操作されたり、搭載カメラにアクセスされたり、自宅の地図情報を取得されたり、さらには保存されているWi-Fi認証情報を盗まれたりする恐れがあります。

ある独立系の研究者が90日間の報告期間を経てこの問題を公表しました。原因は、AWS IoT CoreのMQTTポリシーが過度に緩い設定になっていたことに加え、Shark掃除機のファームウェアに組み込まれたコマンド実行機能が存在していたことにあります。

数百万台のSharkロボット掃除機が影響を受ける

この研究者はShark RV2320EDUSとAV1102ARUSの両モデルでこの脆弱性を検証し、問題のあるプロビジョニング設定を使用しているインターネット接続対応のShark製ロボット掃除機すべてが影響を受けると指摘しています。

Vulnerabilityscanning tools

報告された攻撃手順は、まず対象デバイスに物理的にアクセスし、デバイス固有のAWS証明書と秘密鍵をファームウェアから抜き出すところから始まります。

Image

これらの認証情報にはAWS IoTのMQTTブローカー上で過剰な権限が与えられており、侵害されたデバイスが同一地域の他のShark製デバイスをカバーするワイルドカードトピックを購読できてしまいます。

報告書によると、脆弱性のあるRV2320EDUS掃除機から取得したデバイス証明書を使えば、Shark製デバイスが利用するMQTTワイルドカードトピックを購読でき、多数の接続済み掃除機のテレメトリおよびコマンド通信が露出してしまうとのことです。

この研究者は、対象のシリアル番号さえわかっていれば、同じ証明書を使って別のデバイスのAWS IoT Shadowトピックにもメッセージを発行できると主張しています。デバイスのシリアル番号は、露出したMQTT通信から直接取得できるとされており、これにより任意のシステムを標的にする際の大きな障壁が取り除かれてしまいます。

この脆弱性の中でも特に深刻なのが、掃除機のデバイス管理デーモン「appd」が扱うExec_Commandフィールドに関わる部分です。バイナリをリバースエンジニアリングしたところ、このデーモンは特定の形式に整形されたMQTTメッセージを解析し、渡されたコマンド文字列をシェル実行関数に渡していることが判明しました。

この研究者によると、対象デバイスのMQTT Shadowトピックに細工した「desired state」の更新情報を発行できる攻撃者は、掃除機に高い権限で任意のコマンドを実行させることが可能だといいます。

研究者は、あるデバイスの認証情報を使って、別途購入したAV1102ARUS機に対しペイロードを実行させることに成功し、デバイス間にまたがる影響を確認しました。

この検証の成功により、この脆弱性が特定の1台やシリアル番号に限定されるものではないことが裏付けられました。今回の概念実証は研究者自身が所有するデバイスに対してのみ実施されたものですが、理論上は同じ仕組みを使って、影響を受けるブローカー地域に接続された露出デバイスに対しても攻撃が可能と考えられます。

Vulnerabilityscanning tools

プライバシーおよびセキュリティ面への影響は、不正な清掃コマンドの実行にとどまりません。Sharkのロボット掃除機の一部モデルにはナビゲーションや障害物検知に用いるカメラが搭載されており、この研究者によると、侵害されたデバイスを悪用すればカメラのライブ映像にアクセスしたり、モーターを遠隔操作したりすることも可能だといいます。

ファームウェアの解析では、自宅内の地図データや平文のWi-Fi事前共有鍵がローカルに保存されていることも判明しており、掃除機を足がかりに被害者の家庭内ネットワーク全体へ侵入される経路が生まれる可能性があります。

この研究者は24時間の観測期間中に、1,050万件を超えるMQTTメッセージを処理し、AWSの1つのリージョンだけで約152万台のユニークなデバイスを特定したと報告しています。

このうち、コマンド実行機能への対応を示すExec_Responseメッセージを送信したデバイスは約673,816台、全体の44%に上りました。監視期間中に通信していなかった対象製品もあるため、実際に脆弱性の影響を受けるデバイスの台数はこれと異なる可能性があります。

公開された経緯を見ると、SharkNinjaへの最初の連絡は2026年3月11日に行われ、技術的な詳細も同じく3月11日に共有されています。

その後、研究者は繰り返しフォローアップを行いましたが、パッチや修正時期の確約が得られなかったため、7月13日にこの問題を公表するに至りました。SharkNinjaは報告内容を審査中であると認めた一方で、CVEの割り当てが適切かどうか疑問を呈したとされています。

この研究者は、SharkNinjaに対し、デバイス証明書が自身のMQTTトピックにしかアクセスできないようAWS IoTのポリシーを直ちに制限すること、影響を受ける証明書を失効または再発行すること、そしてリモートコマンド実行機能を廃止するか厳格な認証を課すことを推奨しています。

公式な修正が提供されるまでの間、利用者は掃除機のファームウェアを最新の状態に保ち、可能であればIoTデバイスを別のネットワークに隔離し、SharkNinjaが発表するセキュリティ勧告を確認して対応情報を注視することが望まれます。

 Strengthen Your SOC by Accelerating Threat Detection & Rapid Investigations. -> Integrate ANY.RUN With Your SOC Now.

翻訳元: https://gbhackers.com/millions-of-shark-robot-vacuums-vulnerable/

ソース: gbhackers.com