出典:Dmitrii Melnikov(Alamy Stock Photo経由)
人気のBluetooth実装に存在する4つの脆弱性が組み合わさることで、数千万台もの車両やさまざまなデバイスでリモートコード実行(RCE)が可能になることが判明しました。
「Blue SDK」はBluetoothプロトコルスタックおよびソフトウェア開発キット(SDK)です。2024年5月17日、PCAサイバーセキュリティの研究者がBlue SDKに複数の脆弱性を発見し、それらを組み合わせることでBluetooth接続に依存するデバイスでリモートコードを実行できることを確認しました。彼らはこのエクスプロイトチェーンを「PerfektBlue」と名付けました。
影響を受けるシステムの範囲は非常に広大です。開発元のOpenSynergyは、自社のホームページで、Blue SDK(およびその上に構築されているため同様に脆弱な可能性があるRapidLaunch SDK)が3億5千万台の車に搭載されていると誇らしげに公表しています。これらの車は、メルセデス・ベンツ、フォルクスワーゲン、シュコダ、そして名前が明かされていない4社目のメーカーのものです。フォードがBlue SDKをAndroidベースの車載インフォテインメント(IVI)システムに統合したことを受け、Dark Readingは同社も影響を受けているかどうか確認を試みています。
車だけでなく、OpenSynergyはBlue SDKが世界中の10億台以上の組み込みデバイス(コンシューマー、モバイル、産業、医療分野を含む)に採用されていると主張しています。
PerfektBlueエクスプロイト
研究者たちは、Blue SDKにCVE-2024-45431からCVE-2024-45434までの4つのバグを確認しました。これらの深刻度はさまざまで、最初のものは共通脆弱性評価システム(CVSS)で10点中3.5(低)、最後のものは8.0(高)と評価されています。
他のBluetoothハックと同様、これらの脆弱性を実際に悪用する上で最大の障壁は物理的な近接性です。攻撃者はターゲットデバイスから約10メートル以内に位置し、ペアリングする必要があり、デバイス側もそれに応じる必要があります。Blue SDKはあくまでフレームワークであるため、デバイスによってはペアリングを拒否したり、攻撃者が試行できるペアリングリクエストの数を制限したり、少なくともペアリング承認のクリックを要求する場合があります。
この点については、研究者とフォルクスワーゲンの間で意見が分かれています。自動車メーカーはBleeping Computerに対し、エクスプロイトには以下の5つの非常に特定の条件が必要だと述べています:
-
攻撃者が車両から最大5~7メートル以内にいること。
-
車両のイグニッションがオンになっていること。
-
インフォテインメントシステムがペアリングモードになっていること(つまり、車両ユーザーがBluetoothデバイスのペアリングを積極的に行っていること)。
-
車両ユーザーが画面上で攻撃者のBluetoothアクセスを積極的に承認すること。
-
攻撃者がその5~7メートル以内にとどまり続け、車両へのアクセスを維持すること。
PCAの上級セキュリティ研究員であるMikhail Evdokimov氏は、これらの条件の一部は正確ではないと説明しています。
「通常、現代の車ではイグニッションをオンにしなくてもインフォテインメントシステムを起動できます。例えば、フォルクスワーゲンID.4やシュコダ・スーパーブでは必要ありません」と彼は述べていますが、車種によって異なる場合もあります。また、最初のアクセスには物理的な近接が必要ですが、攻撃者はPerfektBlueを使ってリモートアクセス用マルウェアを仕込むことで、ネットワーク接続を介してどこからでも持続的なアクセスが可能になるとしています。
ペアリングモードの前提条件も一概には言えません。PCAサイバーセキュリティのセキュリティアセスメントチームはDark Readingに対し、「車によります。メルセデス・ベンツNTG6の場合は事実ですが、フォルクスワーゲンID.4やシュコダ・スーパーブの場合、攻撃者が遠隔でペアリングプロセスを開始でき、ユーザーがインフォテインメントシステムをペアリングモードにする必要はありません」と述べています。
想定される影響
PCAは公開した調査で、PerfektBlueにより攻撃者がGPSによる車両追跡、車内の音声録音、電話帳などの個人情報の窃取が可能になると指摘しています。
研究者たちは自らテストはしていませんが、IVIの侵害が他の安全に関わる重要なシステムへの脅威につながる可能性も示唆しています。「PerfektBlueは車両内部のインフラへの入口と考えられ、そこには多数の異なるモジュールやシステムが含まれます。そのうちの一つでコード実行ができれば、攻撃者はさらなる悪用のための広範な攻撃面を得ることになり、最終的には車の重要部品の侵害につながる可能性があります」と同社は声明で述べています。
一方、フォルクスワーゲンは記者団に対し、PerfektBlueは同社車両のステアリングやブレーキ制御などのより深層のシステムには影響しないとし、介在するセキュリティ層があると説明しています。
Dark Readingは、フォルクスワーゲンに対し、同社の見解とPCAの見解の相違点について問い合わせています。
パッチ適用の課題
OpenSynergyは、顧客向けにパッチを提供したと2024年9月に報告しています。しかし、影響を受けるデバイスの相当数が依然として脆弱なままである兆候もあります。例えば6月23日には、ある名前が明かされていないOEMが研究者に対し、パッチも通知も受け取っていないと伝えています。
SwimlaneのリードセキュリティオートメーションアーキテクトであるNick Tausek氏は、OpenSynergyに一定の理解を示します。「ベンダーとメーカーの複雑な関係、サプライチェーン攻撃の増加、ソフトウェア部品表(SBOM)の不在、計画的陳腐化などが重なり、誰が影響を受けているかの把握や実際のパッチ適用が困難になっています。OEMや特にアフターマーケットメーカーへの通知が遅れるのも当然で、パッチ適用にはディーラーへの持ち込みが必要になることも多い」と述べています。「メーカーのサポートが終了した機器へのパッチ適用の可能性も、この種の脆弱性にとって懸念材料です。」
さらに彼は「私にとって、PerfektBlueのような攻撃は、一般ユーザーへの現実的な脅威というより、IoTパッチ適用の複雑な状況を浮き彫りにするものです」と付け加えています。
OpenSynergyは本記事に関するコメントにはすぐに応じませんでした。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/350m-cars-1b-devices-1-click-bluetooth-rce