サプライチェーンリスク管理企業Eclypsiumの研究者は、Linuxベースのウェブカメラが武器化され、持続的な脅威に変わり得ることを示しました。
この攻撃手法は、Eclypsiumの研究者によって、Lenovoブランドのウェブカメラ2機種(Lenovo 510 FHDおよびLenovo Performance FHD Web)に対して実演されました。これらのカメラは、中国企業SigmaStar製のSoC(システムオンチップ)とファームウェアを搭載しています。
研究者たちは、この種のカメラがBadUSB攻撃に利用できることを示しました。BadUSB攻撃は10年以上前から知られている攻撃手法で、攻撃者がフラッシュドライブやキーボードなど一見無害なUSBデバイスのファームウェアを改ざんし、コンピュータに接続された際に悪意のあるコマンドを実行させるものです。
BadUSBデバイスは、マルウェアの起動、権限昇格、キーストロークの注入、標的コンピュータからの貴重なデータの窃取などに利用できます。
Eclypsiumの研究者は、Linuxベースのウェブカメラを標的とする攻撃の亜種を特定しました。この手法はBadCamと名付けられ、典型的なBadUSB攻撃とは異なり、武器化されるUSBデバイスへの物理的なアクセスを必ずしも必要としません。
代わりに、攻撃者がコンピュータ上でリモートコード実行を達成できれば、接続されたウェブカメラのファームウェアを書き換え、BadUSBデバイスに変えることができます。
「攻撃者は、他の手法よりもはるかに高い持続性を実現できます」とEclypsiumは説明しています。「一度攻撃者がファームウェアを改ざんすると、そのウェブカメラはホストコンピュータを再感染させるために利用できます。たとえホストコンピュータを完全に初期化し、OSを再インストールしても、攻撃者は一貫してホストコンピュータを再感染させることができます。」
Lenovoのウェブカメラの場合、この攻撃が可能なのは、ファームウェア署名検証が欠如している脆弱性が原因です。攻撃者は、ファームウェアアップデートソフトウェアに含まれる2つのコマンドを利用し、侵害されたコンピュータから簡単に悪意のあるファームウェアを展開できます。
広告。スクロールして読み続けてください。
セキュリティ企業は、CVE-2024-53104として追跡されているLinuxカーネルの脆弱性が、実際に悪用されていることが知られており、これを利用してホストを制御し、接続されたUSBカメラに悪意のあるファームウェアを展開できると指摘しています。
Lenovoには通知が行われており、この脆弱性にはCVE-2025-4371が割り当てられました。同社はファームウェアバージョン4.8.0のリリースでこの問題に対応しています。
Eclypsiumの調査はLenovoのウェブカメラに焦点を当てていますが、Linuxを搭載した他のカメラやUSB周辺機器も同様に脆弱である可能性があります。
この研究は週末にDEF CONハッカー大会で発表され、Eclypsiumは詳細な調査結果をまとめたブログ記事も公開しています。
翻訳元: https://www.securityweek.com/badcam-new-badusb-attack-turns-linux-webcams-into-persistent-threats/