注目の脆弱性:Foscam C1 Indoor HD カメラに発見された複数の脆弱性
脆弱性の発見者:Cisco Talos の Claudio Bozzato
エグゼクティブ サマリー
Foscam C1 Indoor HD カメラは、家庭向けの監視カメラなどの幅広い用途に利用できるネットワーク カメラです。Talos では最近、Foscam C1 カメラに複数の脆弱性を特定し、製造元の Foscam 社と協力して修正プログラムを開発しました。それらについては、こちらのブログ記事
で詳細に説明しています。ただし、製品のセキュリティ評価を続ける中で、新たな脆弱性も発見されました。それらの脆弱性についても、責任ある開示方針に従って Foscam 社に開示しており、問題を修正したファームウェア アップデートが提供されるよう同社と協力してきました。これらの脆弱性が存在するデバイスでは、攻撃者によりリモートで任意コードが実行されたり、不正なファームウェアがアップロードされデバイスが完全に支配されたりする危険性があります。
Foscam 製 IP ビデオ カメラの Web サービス DDNS クライアントに存在する、任意コードが実行される脆弱性 [英語]
Foscam C1 Indoor HD カメラでダイナミック DNS(DDNS)を有効にしている場合、複数のバッファ オーバーフローの脆弱性から影響を受けます。DDNS を有効にすると、不正な HTTP サーバを介してこれらの脆弱性がエクスプロイトされる可能性があります。カメラが起動すると、指定の DDNS サーバから割り当てられた IP アドレスの更新を定期的に確認するため、スレッドを作成します。DDNS を使用するように設定されている場合、DDNS サーバにリクエストを送信し、応答をバッファに書き込みます。ただしこの際に、適切な境界チェックが行われません。この脆弱性は、割り当てられたバッファよりも大きな応答が(攻撃者が制御するサーバから)返されるとエクスプロイトされ、任意コードがリモートで実行される危険性を伴います。これらの脆弱性に関連しているのは、次のアドバイザリと CVE です。
- Foscam IP ビデオ カメラの Web サービス DDNS クライアントに起因する、リモートでコードが実行される脆弱性(DDNS サーバにcom を指定した場合)(TALOS-2017-0357 / CVE-2017-2854) [英語]
- Foscam IP ビデオ カメラの DDNS クライアントに起因する、リモートでコードが実行される脆弱性(DDNS サーバにnet を指定した場合)(TALOS-2017-0358 / CVE-2017-2855) [英語]
- Foscam IP ビデオ カメラの Web サービス DDNS クライアントに起因する、リモートでコードが実行される脆弱性(DDNS サーバにcom を指定した場合)(TALOS-2017-0359 / CVE-2017-2856) [英語]
- Foscam IP ビデオ カメラの Web サービス DDNS クライアントに起因する、リモートでコードが実行される脆弱性(DDNS サーバにorg を指定した場合)(TALOS-2017-0360 / CVE-2017-2857) [英語]
Foscam 製 IP ビデオ カメラの CGIProxy.fcgi を介したファームウェア アップグレード機能に起因する、未署名イメージがアップロードされる脆弱性(TALOS-2017-0379 / CVE-2017-2872) [英語]
Foscam C1 HD Indoor カメラは、デバイス上の Web 管理インターフェイスを介してファームウェアをアップグレードできます。ただし、ユーザが提供したファームウェア イメージに対して十分なセキュリティ検証を行いません。そのため、カスタマイズされた不正なファームウェア イメージがアップロード・実行される危険性があります。ファームウェアのアップグレード プロセスを攻撃者が開始するには、デバイスの管理者権限を持つアカウントにアクセスできる必要があります。TALOS-2017-0379 の CVE 番号は CVE-2017-2872 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラの CGIProxy.fcgi を介した SoftAP 設定機能に起因する、コマンド インジェクション攻撃を受ける脆弱性(TALOS-2017-0380 / CVE-2017-2873) [英語]
Foscam C1 HD Indoor カメラでは、Web 管理インターフェイスから SoftAP を設定できます。カメラ上で SoftAP を設定すれば、初期設定などでカメラにワイヤレスで接続できますが、「setSoftApConfig」コマンドで到達可能な devMng バイナリに存在するコマンド インジェクションの脆弱性から影響を受けます。この脆弱性がエクスプロイトされると、任意の OS コマンドが実行される危険性があります。ただしエクスプロイトには、デバイスの管理者権限を持つアカウントに攻撃者がアクセスできる必要があります。TALOS-2017-0380 の CVE 番号は CVE-2017-2873 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラのマルチ カメラ インターフェイスに起因する情報漏えいの脆弱性(TALOS-2017-0381 / CVE-2017-2874) [英語]
Foscam C1 HD Indoor カメラは、UDP/10000 および UDP/10001 ポートを介したデバイス間通信を許可しています。これにより、複数のカメラから配信されるビデオを単一の Web 管理画面から確認できますが、情報漏えいの脆弱性も伴います。認証されていないリモートの攻撃者により脆弱性がエクスプロイトされると、MAC アドレス、カメラ名やファームウェアのバージョンなどの秘密情報が漏えいする危険性があります。TALOS-2017-0381 の CVE 番号は CVE-2017-2874 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラのマルチ カメラ インターフェイス(Username フィールド)に起因する、バッファ オーバーフローが引き起こされる脆弱性(TALOS-2017-0382 / CVE-2017-2875) [英語]
Foscam C1 HD Indoor カメラは、UDP/10000 および UDP/10001 ポートを介したデバイス間通信を許可しています。これにより、複数のカメラから配信されるビデオを単一の Web 管理画面から確認できますが、認証されていないリモートの攻撃者によりバッファ オーバーフロー状態が引き起こされ、任意コードが実行される脆弱性を伴います。この脆弱性は、認証リクエスト中に送信される username パラメータの内容に対して適切な境界チェックが行われないことに起因します。TALOS-2017-0382 の CVE 番号は CVE-2017-2875 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラのマルチ カメラ インターフェイス(Password フィールド)に起因する、バッファ オーバーフローが引き起こされる脆弱性(TALOS-2017-0383 / CVE-2017-2876) [英語]
Foscam C1 HD Indoor カメラは、UDP/10000 および UDP/10001 ポートを介したデバイス間通信を許可しています。これにより、複数のカメラから配信されるビデオを単一の Web 管理画面から確認できますが、認証されていないリモートの攻撃者によりバッファ オーバーフロー状態が引き起こされ、任意コードが実行される脆弱性を伴います。この脆弱性は、認証リクエスト中に送信される password パラメータの内容に対して適切な境界チェックが行われないことに起因します。TALOS-2017-0383 の CVE 番号は CVE-2017-2876 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラのマルチ カメラ インターフェイスに起因し、デバイスが未許可でリセットされる脆弱性(TALOS-2017-0384 / CVE-2017-2877) [英語]
Foscam C1 HD Indoor カメラは、UDP/10000 および UDP/10001 ポートを介したデバイス間通信を許可しています。これにより、複数のカメラから配信されるビデオを単一の Web 管理画面から確認できますが、細工されたネットワーク パケットが UDP/10001 ポート経由で送信されると、デバイス上に設定されたユーザ アカウントが未認証の攻撃者によりリセットされる脆弱性を伴います。この脆弱性はエラーチェックが実行されないことに起因しています。そのため、攻撃者がユーザ アカウントをリセットする際は、有効な「authResetKey」値をアカウント内で指定する必要すらありません。TALOS-2017-0384 の CVE 番号は CVE-2017-2877 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラの CGIProxy.fcgi を介した logOut コマンドに起因する、リモートでコードが実行される脆弱性(TALOS-2017-0385 / CVE-2017-2878) [英語]
Foscam C1 HD Indoor カメラには、Web 管理画面から logOut コマンドを使用することでバッファオーバーフロー状態を引き起こせる脆弱性が存在します。エクスプロイトされると、コードをリモートで実行できる権限が攻撃者の手に渡る危険性があります。脆弱性をエクスプロイトするには、例え権限が限定されたゲスト アカウントであっても、デバイスへのアクセスが認証されている必要があります。TALOS-2017-0385 の CVE 番号は CVE-2017-2878 です。詳細については、こちらからアドバイザリを参照してください。
Foscam 製 IP ビデオ カメラの UPnP 検出機能に起因する、リモートでコードが実行される脆弱性(TALOS-2017-0386 / CVE-2017-2879) [英語]
Foscam C1 HD Indoor カメラでは、ネットワーク ゲートウェイと通信するための UPnP を実装しているため、カメラの Web 管理インターフェイスにリモート アクセスすることもできます。ただし Foscam C1 における UPnP の実装では、攻撃者によりバッファ オーバーフローが引き起こされる脆弱性を抱えており、任意コードがリモートで実行される危険性があります。この脆弱性は、細工された UPnP 検出応答が送信されるとエクスプロイトされる可能性があります。TALOS-2017-0386 の CVE 番号は CVE-2017-2879 です。詳細については、こちらからアドバイザリを参照してください。
テストしたバージョン
Talos で検証した結果、以下のバージョンの Foscam ファームウェアに脆弱性が存在することを確認しました。
Foscam Indoor IP Camera C1 Series
System Firmware Version: 1.9.3.18
Application Firmware Version: 2.52.2.43
Plug-In Version: 3.3.0.26
まとめ
Foscam C1 は最も普及している IP カメラの 1 つです。この製品の多くは重要な場所に設置されています。製品はセキュリティ監視用として販売されており、自宅、子供、ペットをリモートで監視する用途で多用されています。したがって、デバイスの整合性、そして監視する情報や環境の機密性を確保するために、これらのデバイスのファームウェアを常に最新状態に保つよう強く推奨します。Foscam 社では、これらの問題を修正したファームウェア(こちらから入手可能)をリリースしています。影響を受けるデバイスのユーザは、デバイスの脆弱性を確実に解消するために、可能な限り早急に最新バージョンへ更新してください。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール: 42432 – 42434、43080 – 43082、43555 – 43558、43713、43717。
本稿は 2017年11月13日に Talos Group
Tags:
