2014 年以降、Bitdefender の IoT 研究者は、世界で最も普及している IoT デバイスを対象に、脆弱性や文書化されていない攻撃経路を調査してきました。本レポートでは、ThroughTek Kalay プラットフォームを搭載したデバイスに影響を与える 4 件の脆弱性を記録しています。このプラットフォームは IoT 連携において広く利用されているため、これらの欠陥は複数のベンダーに対して大きな波及的影響を及ぼします。
モノのインターネット(IoT)が相互接続された環境においては、デバイス、インフラストラクチャ、データの信頼性とセキュリティが最重要となります。数多くの IoT デバイスの動作を支えるフレームワークの中でも、ThroughTek の Kalay プラットフォームは要となる存在であり、世界中で 1 億台以上のデバイスを稼働させています。監視カメラやセキュリティデバイスにおいて優勢なシェアを持つ ThroughTek Kalay の影響力は、家庭、企業、インテグレーターの安全を守るうえでのその重要性を物語っています。
注:本稿で提示する脆弱性は、影響を受けるベンダーに対して責任ある開示プロセスに従って通知済みです。各レポートには、特定のファームウェア情報が記載されています。脆弱性を迅速に認識し、速やかにパッチをリリースしてくださった関係ベンダーの皆様に感謝いたします。
タイムライン
- 2023 年 10 月 19 日:Bitdefender が ThroughTek に連絡し、脆弱性レポートを送付。
- 2023 年 10 月 20 日:ベンダーが問題を確認。
- 2023 年 10 月 26 日:ベンダーが修正の実装と展開のため、90 日超の期限延長を要請。
- 2024 年 3 月 15 日:追加の期限延長が要請される。
- 2024 年 4 月 12 日:すべての関係者がパッチを適用できるよう、協調的な脆弱性開示日を 2024 年 5 月 15 日に設定。
- 2024 年 4 月 16 日:ベンダーが、影響を受けるすべての SDK バージョンにパッチを適用したことを確認。
- 2024 年 5 月 15 日:本レポートを公開。
公開された脆弱性
- CVE-2023-6321 は、認証済みユーザーが root 権限でシステムコマンドを実行できるようにし、デバイスの完全な侵害につながります。
- CVE-2023-6322 は、IOCTL メッセージのハンドラーに存在するスタックベースのバッファオーバーフロー脆弱性を悪用して、攻撃者が root アクセスを取得できるようにします。この IOCTL メッセージは通常、カメラの動体検知ゾーンの設定に使用されます。この脆弱性は、動体検知機能を使用する一部のデバイスに特有のものです。
- CVE-2023-6323 は、たとえばローカル攻撃者が不正に AuthKey シークレットを取得できる抜け穴を露呈させるものであり、攻撃者が被害デバイスへの初期接続を確立するのに実質的な助けとなります。
- 最後に、CVE-2023-6324 は、攻撃者が DTLS セッション用の事前共有鍵を推測できる脆弱性を悪用するものであり、被害デバイスに接続して通信するための重要な前提条件となります。
これらの脆弱性を連鎖させることで、ローカルネットワーク内からの不正な root アクセスに加え、被害デバイスを完全に掌握するリモート*コード実行も可能になります。
*リモートコード実行は、デバイスがローカルネットワークから事前に調査されている場合にのみ可能です。
影響を受けるベンダー
これらの脆弱性は TUTK プラットフォームに影響し、その結果として多くの実装に波及しますが、当社の調査は世界中で販売されている 3 つの主要デバイスを対象に実施しました。一部のベンダーにはデバイス固有の脆弱性が存在したため、個別のタイムラインは各レポートに記載されています。
Owlet Cam v1 および v2
Owlet Cam は、インターネット経由でクライアントと通信するために ThroughTek Kalay ソリューションを使用しています。3 つの脆弱性(CVE-2023-6323、CVE-2023-6324、および CVE-2023-6321)は連鎖させることで、攻撃者がローカルネットワークから root アクセスを取得し、その後デバイス上でコマンドを実行できるようになります。Owlet Cam においては、コマンド実行は CVE-2023-6321 を介して達成されます。これは、OTA アップデートを含むアーカイブを展開するために使用される IOCTL メッセージ 0x6008E に存在する脆弱性です。
脆弱性の技術的な詳細と、それらがどのように連鎖して Owlet Cam を侵害するかについての解説は、以下から参照できます。
Wyze Cam v3
Bitdefender の研究者は、Wyze Cam v3 に 3 件の脆弱性を確認しました。これらは CVE-2023-6322、CVE-2023-6323、および CVE-2023-6324 として追跡されています。これらを連鎖させることで、攻撃者はローカルネットワークから root アクセスを取得できます。このケースでは、Wyze Cam v3 上でのコマンド実行は CVE-2023-6322 を通じて行われます。これは、動体検知ゾーンの設定に使用される IOCTL メッセージ 0x284C のハンドラーに存在するスタックベースのバッファオーバーフロー脆弱性です。
脆弱性の技術的な詳細と、それらがどのように連鎖して Wyze Cam v3 を侵害するかについての解説は、以下から参照できます。
Roku Indoor Camera SE
Roku Indoor Camera SE における脆弱性は、Wyze Cam v3(および他のセキュリティカメラの一部)に存在するものと同一です。Bitdefender の研究者は、CVE-2023-6322、CVE-2023-6323、および CVE-2023-6324 を連鎖させることで、カメラと通信し、OS コマンドを root 権限で実行するために必要な前提条件を満たしています。
脆弱性の技術的な詳細と、それらがどのように連鎖して Roku Indoor Camera SE を侵害するかについての解説は、以下から参照できます。
これらの脆弱性の影響は、理論上のエクスプロイトの範囲をはるかに超え、ThroughTek Kalay を搭載したデバイスに依存するユーザーのプライバシーと安全に直接影響します。当社の調査結果は、プラットフォームベンダーおよびテスト対象となったインテグレーターの双方に対して責任ある形で開示されています。実環境でこれらの問題が悪用されることを防ぐため、影響を受けるデバイス向けに更新版のファームウェアおよび SDK が提供されています。
