コンテンツにスキップするには Enter キーを押してください

LinuxベースのLenovoウェブカメラの脆弱性、リモートでBadUSB攻撃に悪用可能

投稿日 2025年8月10日

2025年8月9日Ravie Lakshmanan脆弱性 / ハードウェアセキュリティ

Image

サイバーセキュリティ研究者は、Lenovoの特定モデルのウェブカメラに、BadUSB攻撃デバイスに変貌させることができる脆弱性が存在することを明らかにしました。

「これにより、リモートの攻撃者が密かにキーストロークを注入したり、ホストオペレーティングシステムに依存しない攻撃を実行したりすることが可能になります」と、Eclypsiumの研究者Paul Asadoorian、Mickey Shkatov、Jesse MichaelはレポートでThe Hacker Newsに共有しました。

この脆弱性は、ファームウェアセキュリティ企業によって「BadCam」とコードネームが付けられています。これらの発見は、本日開催されたDEF CON 33セキュリティカンファレンスで発表されました。

この開発は、おそらく初めて、既にコンピュータに接続されているLinuxベースのUSB周辺機器を脅威アクターが制御し、悪意のある目的で武器化できることが実証されたケースとなります。

仮想的な攻撃シナリオでは、攻撃者はこの脆弱性を利用して、被害者にバックドア付きのウェブカメラを送付したり、物理的にアクセスできる場合はコンピュータに接続したりして、リモートでコマンドを発行し、コンピュータを侵害して事後活動を行うことができます。

BadUSBは、10年以上前にセキュリティ研究者Karsten NohlとJakob Lellによって2014年のBlack Hatカンファレンスで初めて実演された攻撃であり、USBファームウェアに内在する脆弱性を悪用し、ファームウェアを書き換えて被害者のコンピュータ上で密かにコマンドを実行したり、悪意のあるプログラムを動作させたりするものです。

「従来のマルウェアはファイルシステム上に存在し、アンチウイルスツールで検出できることが多いですが、BadUSBはファームウェア層に存在します」とIvantiは先月末に公開した脅威の解説で述べています。「BadUSBデバイスがコンピュータに接続されると、キーボードをエミュレートして悪意のあるコマンドを入力したり、バックドアやキーロガーをインストールしたり、インターネットトラフィックをリダイレクトしたり、機密データを流出させたりすることができます。」

近年、Google傘下のMandiantや米連邦捜査局(FBI)は、FIN7として追跡されている金銭目的の脅威グループが、米国内の組織に「BadUSB」型の悪意あるUSBデバイスを郵送し、DICELOADERというマルウェアを配布していると警告しています。

Image

Eclypsiumによる最新の発見は、Linuxを搭載したウェブカメラのようなUSBベースの周辺機器が、当初は悪意のあるものではなかったとしても、BadUSB攻撃の媒介となり得ることを示しており、重大なエスカレーションを意味します。特に、このようなデバイスはリモートで乗っ取られ、物理的に抜き差しや交換をすることなくBadUSBデバイスへと変貌させられることが判明しました。

「攻撃者がシステム上でリモートコード実行を獲得した場合、接続されたLinux搭載ウェブカメラのファームウェアを書き換え、悪意のあるHIDとして動作させたり、追加のUSBデバイスをエミュレートさせたりすることができます」と研究者らは説明しています。

「一度武器化されると、一見無害なウェブカメラがキーストロークの注入や悪意のあるペイロードの配信、あるいはより深い持続的な侵入の足掛かりとして機能しつつ、外見や基本的なカメラ機能は維持されます。」

さらに、ウェブカメラのファームウェアを改変できる脅威アクターは、より高いレベルの持続性を実現でき、被害者のコンピュータが初期化されてOSが再インストールされた後でも、再びマルウェアに感染させることが可能となります。

Lenovo 510 FHDおよびLenovo Performance FHDウェブカメラで発見された脆弱性は、デバイスがファームウェアの検証を行わないことに起因しており、その結果、LinuxとUSB Gadgetサポートを搭載しているため、BadUSB型攻撃によってカメラソフトウェアが完全に侵害されるリスクがあります。

2025年4月にLenovoへの責任ある情報開示を経て、PCメーカーは脆弱性を緩和するためのファームウェアアップデート(バージョン4.8.0)をリリースし、中国のSigmaStar社と協力して問題を修正するツールも公開しました。

「この種の攻撃は初めてであり、微妙ながらも深刻な問題となるベクトルを浮き彫りにしています。企業や一般消費者のコンピュータは、内部・外部の周辺機器をしばしば信頼していますが、これらの周辺機器が独自のオペレーティングシステムを実行し、リモート命令を受け入れる能力を持っている場合でも同様です」とEclypsiumは述べています。

「Linuxウェブカメラの文脈において、署名されていない、または保護が不十分なファームウェアは、攻撃者がホストだけでなく、今後そのカメラが接続されるすべてのホストをも乗っ取ることを可能にし、感染を拡大させ、従来のコントロールを回避します。」

翻訳元: https://thehackernews.com/2025/08/linux-based-lenovo-webcams-flaw-can-be.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です