AkamaiのSecurity Intelligence and Response Team(SIRT)は、Vivotekのレガシーカメラファームウェアに存在する重大なコマンドインジェクション脆弱性を公表しました。この脆弱性により、リモート攻撃者は認証なしで任意のコードを実行できます。
CVE-2026-22755が割り当てられたこの欠陥はupload_map.cgiスクリプトに存在し、複数の製品ラインにまたがる数十のカメラモデルに影響します。
ファームウェアのpasswdファイルの分析により、デフォルトパスワードが設定されていないことが判明し、認証されていないリモートユーザーにとって悪用が容易であることが示されました。
この脆弱性は、upload_map.cgiに渡されるfilenameパラメータにおける不適切な入力検証に起因します。
脆弱なコードはsnprintf()関数を使用して、ユーザー提供の入力を用いてシェルコマンド文字列(「mv %s %s」)を整形し、その後サニタイズなしにsystem()関数へ渡します。
filenameにシェルのメタ文字、特にセミコロンを注入することで、攻撃者は意図されたコマンドから逸脱し、rootユーザーとして任意のシステムコマンドを実行できます。
攻撃者が test_firmware.bin;id; のようなファイル名を与えると、正規の移動操作が失敗した後に、シェルが注入された id コマンドを実行します
悪用の成功には、5つの特定条件が必要です:
研究者らは開発したbashスクリプトにより、有効なマジックバイトとパディングを備えた最小限のファームウェアファイルを作成し、検証チェックの回避に成功しました。環境変数(REQUEST_METHOD=POST、CONTENT_LENGTH、QUERY_STRING、POST_FILE_NAME)を設定して、ARMアーキテクチャのエミュレータ上で悪用が発動するようにしています。
テスト中、研究者らは注入されたfilenameパラメータを通じて id コマンドを実行しました。得られた出力により、rootとしてコマンドが実行されたことが確認されました:
straceによるシステムコール追跡でコマンド実行の成功が確認され、シェルがセミコロン区切りを解析して注入されたペイロードを実行したことが示されました。
FD、FE、IB、IP、IT、MA、MS、TBシリーズを含む33以上のカメラモデルが影響を受けます。脆弱なファームウェアのバージョンは0100aから0125cまでで、運用環境で依然として使用されているレガシーおよびサポート終了(EOL)の製品ラインを含みます。
この脆弱性は、IoTデバイスのファームウェア開発における重大なセキュリティ不備を浮き彫りにしています。影響を受けるVivotekカメラを運用している組織は、更新を優先するとともに、悪用リスクを最小化するためにネットワークセグメンテーションを実装すべきです。
翻訳元: https://cyberpress.org/critical-vivotek-vulnerability/