監視カメラの映像やその他の機密データへのリモート アクセスを可能にする D-Link デバイスの中には、ハッカーが認証を回避してインターネットからアクセスできるようになる重大な脆弱性が含まれているものがあります。
セキュリティベンダー Qualys の研究者は、D-Link DNR-322L (上記) および DNR-326 ネットワーク ビデオ コントローラー (NVR) に、リモート認証バイパス、情報漏洩、サービス拒否、その他の脆弱性を発見しました。
D-Link社は4月下旬にこれらの脆弱性について通知を受け、影響を受けるNVR機器向けのファームウェアアップデートを7月にリリースしたと、これらの問題を発見したQualys社のセキュリティ研究者、バラト・ジョギ氏は述べています。ジョギ氏は、新しいファームウェアバージョンを実際にテストして、脆弱性が残っているかどうかを確認したわけではないと付け加えました。ジョギ氏は水曜日、ラスベガスで開催されるセキュリティカンファレンスBSidesでのプレゼンテーションで、これらの脆弱性について説明を予定していました。
D-Link NVRは複数のIPカメラに接続し、それらの映像を録画して、後から許可されたユーザーが視聴できます。どちらのデバイスも4TBのハードドライブを2台搭載しており、D-Linkの試算では、4台のカメラからの高品質な音声と映像を最大6週間保存できるとのことです。
NVR では、カメラ フィードのリアルタイムでのリモート監視や、録画のリモート FTP サーバーへのバックアップも可能です。
D-Link DNR-322L は家庭や小規模企業向けに設計された製品であり、D-Link DNR-326 は大規模なビジネス環境向けのプロフェッショナル NVR です。
発見
Jogi 氏は 2 つの NVR デバイスに 6 つの脆弱性を発見しましたが、そのすべては認証なしでリモートから悪用される可能性があります。
研究者によると、こうしたデバイスの一般的な導入方法は、リモートアクセスのためにインターネットに接続することだという。
1 つの脆弱性により、攻撃者は認証されていないリクエストを送信するだけでデバイス上に追加のユーザーを作成でき、もう 1 つの脆弱性により、攻撃者は管理者アカウントのパスワードをリセットできます。
攻撃者は、管理者パスワードを変更するために 2 番目の脆弱性を利用するよりも、最初の脆弱性を利用して新しいユーザーを作成し、そのユーザーに権限を割り当てる可能性が高いと Jogi 氏は述べた。管理者パスワードを変更すると、すぐに発見されるからです。
研究者はまた、攻撃者が NVR に接続された IP カメラの詳細 (アクセスに使用された資格情報や、リモート バックアップ FTP サーバーが設定されている場合はそのログイン資格情報など) を取得できる 2 つの情報漏洩の脆弱性も発見しました。
Jogi氏が設計上の欠陥だと考えているもう一つの脆弱性は、デバイスに新しいファームウェアバージョンをアップロードする際に認証が不要であることです。これにより、攻撃者は独自の悪意のあるファームウェアバージョンをアップロードすることが可能になります。
必要なのは、Web ユーザー インターフェースのファームウェア アップロード機能に使用される URL を知ることだけだと研究者は述べています。
最後の脆弱性により、攻撃者は NVR デバイスに対してサービス拒否攻撃を仕掛け、デバイスのシャットダウン、再起動、または工場出荷時の設定へのリセットを実行できるようになります。
これらのデバイスの脆弱性を調査する過程で、研究者はD-Link社のNAS(ネットワーク接続ストレージ)デバイスにも脆弱性がある可能性があると指摘した。「ネットワークビデオレコーダーに適用されるすべての脆弱性は、このNASデバイスにも適用されます」とJogi氏は述べた。
応答
D-Linkは水曜日に電子メールで「ストレージ、監視、ネットワーク、エンターテインメントソリューションを含むすべての製品ラインにおいて、セキュリティはD-Linkにとって最優先事項です」と述べた。「DNR-322LとDNR-326の脆弱性に関する警告を受けて、D-Linkは迅速かつ熱心に作業を行い、影響を受けるデバイス向けのパッチ適用済みファームウェアアップデートを作成しました。」
「現段階では、D-Link社はD-Link社のNASデバイスにこの問題が発生する可能性について連絡を受けたり、情報を得たりしておらず、他のストレージデバイスが影響を受けている兆候もありません」と同社は述べた。「D-Link社のエンジニアは、この問題が実際に発生していることを確認するために徹底的な調査を行っています。」
Qualysの研究者は、SHODAN検索エンジンを使用して、インターネットに接続された16,000台以上のD-Link製NASおよびNVRデバイスを発見しました。彼は脆弱性を利用してそのうちの1台にアクセスし、それがウクライナのカジノのNVRであることが判明しました。
ジョギ氏によると、NVRデバイスは図書館、病院、その他の企業などの組織で、セキュリティ目的で敷地内を監視するために使用されている。しかし、多くの人が気づいていないのは、こうしたデバイスには遠隔監視につながる脆弱性が存在する可能性があるということだ。
このリスクはD-Linkデバイスに限ったものではありません。ジョギ氏によると、他の研究者も以前に、異なるベンダーのNVRデバイスに脆弱性を発見しているとのことです。
