ビデオ会議製品を製造しているある企業は、危険性を警告されていたにもかかわらず、ある重大なセキュリティ上の脆弱性を別の脆弱性に置き換えてしまった。
様々なオーディオビジュアル機器やビル制御機器を製造するAMXハーマンは、既にこの問題にパッチを当てている。しかし木曜日、ウィーンの情報セキュリティ企業SECコンサルトが、その背景にあるとされる事実を明らかにした。
昨年3月、SECコンサルトはAMXに対し、オーディオビジュアルシステムを制御する機器NX-1200の特定のバージョンに秘密のアカウントを発見したと警告した。
隠しアカウントのユーザー名は「Black Widow」で、SEC Consult はアプライアンスの認証手順を調査することでパスワードも発見したと発表しました。
SECコンサルティング
これらの認証情報は、ウェブベースの管理インターフェースやコマンドラインインターフェースを含む、デバイスへの広範なアクセスに利用される可能性がある。SEC Consultは、ハッカーはパケットをキャプチャすることも可能だと記している。
SECコンサルト脆弱性ラボの責任者ヨハネス・グレイル氏は電子メールで、このアカウントは意図的に作成されたようだと述べた。
「このバックドアは極めて重大です。意図的に仕掛けられたものであり、開発者の手によるものではないからです」と彼は書いている。「システムはユーザー管理インターフェースからバックドアを隠そうとしており、バックドアアカウントは管理者アカウントよりも高い権限さえ持っています。」
AMXは政府機関との取引が多数あるため、SECコンサルトの調査結果は懸念すべきものだ。同社のウェブサイトに掲載された写真には、バラク・オバマ米大統領と上級顧問の写真が掲載されており、「ルーム・オートメーション」というキャッチフレーズが添えられている。
AMXハーマン AMX Harmanのウェブサイトからの画像。
AMXは3月に通知を受けていたにもかかわらず、10月まで修正を提供しませんでした。SEC Consultが修正内容を分析したところ、「Black Widow」アカウントが単に新しいユーザー名に変更されていたことが判明しました。
AMX のセキュリティ概要によると、同社はセキュリティの脆弱性を防ぐため「デバッグ アカウント」と呼ばれるものを削除したという。
SECコンサルトは、最新の修正プログラムが有効かどうかはまだ確認していないと述べた。また、両隠しアカウントのパスワードは公開していない。
SEC Consultによるより詳細な勧告では、バックドアはNX-1200以外にも多くの製品に影響を及ぼすと述べられている。AMXの担当者にコメントを求めたが、すぐには連絡が取れなかった。
問題は表面上は解決したため、SEC Consult は AMX の担当者が「大規模なセキュリティ対策を開始する予定」だと述べたと書いている。
