エグゼクティブ サマリー
Cisco Talos は、Anker 社製 Roav A1 Dashcam と Novatek 社製 NT9665X チップセットで発見された複数の脆弱性を公開します。Anker 社製の Roav A1 Dashcam はドライブ レコーダーで、Roav アプリ(Android と iOS 向けに提供)から接続して設定を切り替えたり、録画ファイルをダウンロードしたりすることができます。同製品で発見された複数の脆弱性により、製品上で攻撃者が任意コードを実行できる危険性があります。
Talos は情報開示方針に従って Novatek 社と協力し、今回の脆弱性が解決されたことと、および影響を受けた利用者向けにアップデートが利用可能であることを確認しています。ただし Anker 社とは連絡が取れませんでした。そのため、TALOS-2018-0685、TALOS-2018-0687、TALOS-2018-0688 の各脆弱性は現在も修正されていません。
脆弱性の詳細
Anker 社製 Roav A1 Dashcam の Wifi_Cmd_9999 コードに起因する、任意コード実行の脆弱性(TALOS-2018-0685/CVE-2018-4014)
Roav A1 Dashcam の Wi-Fi コマンドには、エクスプロイト可能な任意コード実行の脆弱性が存在します。細工されたパケットにより、スタックベースのバッファ オーバーフローが引き起こされる危険性があります。攻撃者は特定パケットを送信することで脆弱性をエクスプロイトし、デバイス上で任意コードを実行できる可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Anker 社製 Roav A1 Dashcam でスタック オーバーフローが発生し、任意コードが実行される脆弱性(TALOS-2018-0687/CVE-2018-4016)
Roav A1 Dashcam の URL 解析機能には任意コード実行の脆弱性が存在します。巧妙に細工されたパケットにより、スタックベースのバッファ オーバーフローが引き起こされる危険性があります。この脆弱性をエクスプロイトするため、攻撃者はパケットを送信し、影響を受けるデバイスでコードが実行される可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Anker 社製 Roav A1 Dashcam の Wi-Fi AP デフォルト クレデンシャルに起因する脆弱性(TALOS-2018-0688/CVE-2018-4017)
The Roav A1 Dashcam には、エクスプロイト可能なデフォルト クレデンシャルが含まれています。デバイスではデフォルトのパスワードが使用され、ユーザに変更が要求されません。詳細については、こちらのアドバイザリをご覧ください。
Novatek NT9665X の HTTP アップロード(ファームウェア更新機能)で確認された脆弱性(TALOS-2018-0689/CVE-2018-4018)
NT9665X チップセットのファームウェア更新機能には、エクスプロイト可能な脆弱性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。HTTP サーバには任意のファームウェア バイナリをアップロードできます。このバイナリは次回の再起動時に適用されます。特定の HTTP PUT 要求またはファームウェア更新要求が送信されると、この脆弱性をエクスプロイトされる可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の XML_UploadFile パスで確認された、バッファ オーバーフローにより任意コードが実行される脆弱性
(TALOS-2018-0695/CVE-2018-4023)
NT9665X チップセットには、ファームウェアの `XML_UploadFile` Wi-Fi コマンドに起因する脆弱性により、任意コードを実行される危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工されたパケットによりスタックベースのバッファ オーバーフローが引き起こされ、その結果、任意コードを実行される危険性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の XML_GetThumbNail コマンドに起因する、サービス妨害の脆弱性(TALOS-2018-0696/CVE-2018-4024)
NT9665X チップセットには、ファームウェアのサムネイル表示機能に起因する脆弱性により、サービス妨害状態を引き起こす危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工されたパケットにより Null ポインタが逆参照され、デバイスを再起動される可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の XML_GetRawEncJpg コマンドに起因する、サービス妨害の脆弱性(TALOS-2018-0697/CVE-2018-4025)
NT9665X チップセットには、ファームウェアの `XML_GetRawEncJpg` Wi-Fi コマンドに起因する脆弱性により、サービス妨害状態を引き起こす危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工されたパケットにより無効なメモリが逆参照され、デバイスを再起動される可能性があります。攻撃者は特定のパケットを送信することで脆弱性をエクスプロイトできる可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の XML_GetScreen Strncmp コマンドに起因する、サービス妨害の脆弱性(TALOS-2018-0698/CVE-2018-4026)
NT9665X チップセットには、ファームウェアの `XML_GetScreen` Wi-Fi コマンドに起因する脆弱性により、サービス妨害状態を引き起こす危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工された一連のパケットにより無効なメモリが逆参照され、デバイスを再起動される可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の XML_UploadFile Wi-Fi コマンドに起因する、サービス妨害の脆弱性(TALOS-2018-0699/CVE-2018-4027)
NT9665X チップセットには、ファームウェアの `XML_UploadFile` Wi-Fi コマンドに起因する脆弱性により、サービス妨害状態を引き起こす危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工されたパケットにより、セマフォーのデッドロックに陥る可能性があります。デッドロックに陥ると、デバイスは物理的またはネットワークの入力を受信できなくなります。攻撃者は特定のパケットを送信することで脆弱性をエクスプロイトできる可能性があります。詳細については、こちらのアドバイザリをご覧ください。
Novatek NT9665X の HFS 上書き機能で確認された、サービス妨害の脆弱性(TALOS-2018-0689/CVE-2018-4018)
NT9665X チップセットのファームウェア更新機能には、エクスプロイト可能な脆弱性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。攻撃者は HTTP サーバのルート ディレクトリを上書きすることで、サービス妨害を引き起こす可能性があります。脆弱性は、特定の HTTP 要求によりエクスプロイトされる可能性があります。この脆弱性が TALOS-2018-0699 と同時にエクスプロイトされた場合、バッテリが切れるまで Anker Dashcam は操作を一切受け付けなくなります。詳細については、こちらのアドバイザリをご覧ください。
Novatek 社製 NT9665X の HFS Recv 関数で確認された、バッファ オーバーフローにより任意コードが実行される脆弱性(TALOS-2018-0701/CVE-2018-4029)
NT9665X チップセットには、ファームウェアの HTTP 要求解析関数に起因する脆弱性により、任意コードを実行される危険性があります。このファームウェアは、Anker 社製 Roav A1 Dashcam の RoavA1_SW_V1.9 バージョンで使用されています。細工されたパケットによりメモリへの無制限かつ任意の書き込みが行われ、その結果、任意コードが実行される可能性があります。詳細については、こちらのアドバイザリをご覧ください。
カバレッジ
以下の SNORTⓇ ルールは、TALOS-2018-0685、TALOS-2018-0699、TALOS-2018-0698、TALOS-2018-0697、TALOS-2018-0696、TALOS-2018-0695 に対するエクスプロイトを検出できます。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。ルールに関する最新情報は、Firepower Management Center または Snort.org を参照してください。
Snort ルール:40866、48250、48251、48253、48254、48255
脆弱性が確認されたバージョン
Talos では、Anker 社製 Roav A1 Dashcam(バージョン RoavA1_SW_V1.9)および Novatek 社製 NT9665X チップセットのファームウェアについてテストし、脆弱性を確認しています。
本稿は 2019年5月13日に Talos Group のブログに投稿された「ulnerability Spotlight: Multiple vulnerabilities in the Roav A1 Dashcam」の抄訳です。