Sharkロボット掃除機にRCE脆弱性、攻撃者がカメラとモーターを遠隔操作可能に

数百万台のインターネット接続型Sharkロボット掃除機に影響を及ぼす重大な脆弱性により、攻撃者が任意のコードをリモートで実行し、搭載カメラを乗っ取ったり、モーターを制御したりできることが分かりました。

この脆弱性はAWS IoT Coreのアクセスポリシーの設定ミスに起因しており、製造元のSharkNinjaに対して数カ月にわたり協調的開示が試みられたにもかかわらず、依然として未修正のままとなっています。

この脆弱性は、Sharkの2機種、RV2320EDUSとAV1102ARUSに対するハードウェアレベルの解析によって発見されました。

Tokay0氏は、RV2320EDUSのマザーボード上に露出したUARTピンを特定し、U-Bootの起動シーケンスをCtrl-Cで中断させることで、パスワード認証を完全にバイパスしてrootシェルへのアクセスを獲得しました。

そこから、書き込み可能なデバッグスクリプトディレクトリ(/mnt/udisk/debug_sh_folder/)を利用して、独自のSSHバックドアを再起動後も持続させることに成功しています。

rootアクセスを確立した後、実行中のプロセスを解析したところ、デバイス管理デーモンであるappdが見つかりました。このデーモンは、相互TLSを使用してAWS IoT CoreブローカーとWebSocket経由の永続的なMQTT接続を維持しています。

重大な点として、このデバイスの証明書と秘密鍵はワイルドカードによるトピック購読($aws/things/#)を許可しており、研究者自身のデバイスだけでなく、当該AWSリージョン内のすべてのSharkデバイスのトラフィックが露出する状態になっていました。

Ghidraでappdバイナリをリバースエンジニアリングした結果、シャドウアップデート方式のMQTTメッセージ経由で処理されるExec_Commandフィールドが発見されました。この関数は、1,000バイト未満の文字列であればそのままpopen()に渡し、シェルコマンドとして実行してしまいます。

デバイス証明書に適切な公開制限がかけられていなかったため、いずれか1台のデバイスの鍵を持つ攻撃者は、対象デバイスのシリアル番号さえ分かれば、任意の被害者デバイスのトピックに細工したExec_Commandペイロードを送りつけることができました。しかも、シリアル番号は同じワイルドカード購読を通じて容易に列挙可能です。

Tokay0氏は、2台目の掃除機(AV1102ARUS)を購入し、1台目のデバイスから抽出した認証情報を用いてwgetベースのリバースシェルペイロードを実行することで、機種が異なっていてもデバイス間での悪用が可能であることを確認しました。

24時間にわたるMQTT監視セッションでは、150万台のユニークなデバイスシリアル番号にまたがる1,050万件超のメッセージが捕捉され、単一のAWSリージョン内だけで推定673,816台(44%)のデバイスがリモートコード実行に対して脆弱であることが確認されました。

リージョンごとの証明書ピンニングによってリージョンをまたいだアクセスは制限されているため、攻撃者が被害範囲を拡大するにはリージョンごとに対応するデバイスを購入する必要がありますが、小売店で容易に入手できることを考えると、そのハードルは低いと言えます。

単純なコマンド実行にとどまらず、影響を受けるデバイスはライブカメラ映像、モーター・ナビゲーション制御、保存済みの間取り図、そして平文のWi-FiのPSK(事前共有鍵)まで露出させてしまいます。これにより、侵害された掃除機が移動式の監視・ネットワーク侵入プラットフォームと化してしまいます。

Tokay0氏は2026年3月1日にSharkNinjaへ通知を行い、3月11日には技術的詳細も追って提供しました。SharkNinja側は受領を認めたものの、その後数カ月にわたる対応は「審査中」というステータス更新にとどまり、修正時期についての確約は一切ありませんでした。

6月に標準的な90日間の開示猶予期間が過ぎたため、研究者はMITREのCNA-LRプログラムを通じてCVE識別子を確保しました。SharkNinjaは7月10日までに「確定した完了日」を提示すると約束していましたが、それも実現せず、7月13日の公開開示に至りました。

これはロボット掃除機分野において孤立した事例ではありません。同様のIoTセキュリティの不備は、これまでにもEcovacsのデバイス(音声・カメラの遠隔乗っ取り)やDJIのROMOユニットで確認されており、後者では、ある研究者がPlayStationのコントローラーを使って誤って約7,000台の掃除機を侵害してしまう出来事もありました。

この脆弱性は本記事の公開時点でも未修正のままであり、修正が行われるまでエクスプロイトスクリプトの公開は控えられています。

より強力な予防的防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCからのライブ脅威フィードを統合

翻訳元: https://cyberpress.org/shark-vacuum-rce-flaw/

ソース: cyberpress.org