いろいろなものが便利になってきています。
スマートホームというジャンルもあります。
家の中のいろいろなデバイスがネットワーク経由で利用できるようになったりします。
セキュリティカメラ、カメラ付きドアフォン、ネットワーク経由で利用できるスマートロック、ロボット掃除機などがネットワーク経由で利用できます。
外出先にいるのに自宅への来客と自宅のドアフォンで会話することができそうですし、外出した後で思いついて外出中に家の掃除をロボットにさせておくようなこともできそうです。
スマートロックというのもありますよね。出かけた後で「あれ、玄関の鍵、ちゃんと閉めたかな?」ってこと、たまにありませんか?そういうときにスマホで簡単に確認したり施錠したりできるといいですよね。
こういうものは便利でスマートだと思います。
いろいろな仕組みで動作する製品がありますが、中央管理機能を持ちそこに各デバイスが接続されて利用できる形式になっているものは少なくないと思います。
Ankerのeufyもそういうシリーズです。
eufyの各種デバイスを束ねる動きをする製品に、脆弱性が確認されています。
eufy Homebase2という製品です。
- CVE-2022-21806
攻撃者が特別に細工したパケットを標的のデバイスに送信することにより悪用される可能性のある脆弱性です。
成功した場合、攻撃者はリモートコードを実行することができます。
CVSSv3 Scoreは10.0です。最大です。 - CVE-2022-26073
こちらも特別に細工されたネットワークパケットのセットを送信することによって成り立ってしまう問題です。
成功した場合、対象の機器は再起動します。
CVSSv3 Scoreは7.4です。 - CVE-2022-25989
攻撃者はデバイスの認証をバイパスし、トラフィックをホームベースではなく攻撃者が制御するデバイスに送信することができます。
この脆弱性は、攻撃者がデバイスに特別に細工したDHCPパケットを送信したときにトリガーされます。
攻撃者はこの欠陥を悪用して、接続されたカメラデバイスからビデオフィードを受信し、所有者をスパイする可能性があります。
CVSSv3 Scoreは7.1です。
3つともパケットを投げつけるだけで攻撃を開始できます。
攻撃成功に際し被害者のかかわりは必要ありません。
いつの間にかやられているということになりかねません。
これらの問題に対応する新しいファームウェアはすでに2022年4月にリリースされています。
しかしどのくらいの機器が更新済みとなっているでしょう。
設置済みの機器の数はわかりませんが、おそらく多くの機器は更新されていないままなのではないでしょうか。
セキュリティの対策をいろいろなものに対して継続的に実施していかなければならないという意識を持ちそれを実践できている人はまだごく一部なのではないかと思います。
なんでもかんでも自動更新の機能をつければよいとも一概には言えないと思いますが、なにかそういった根本的な対応が必要に思えます。
参考記事(外部リンク):Vulnerability Spotlight: Vulnerabilities in Anker Eufy
Homebase could lead to code execution, authentication bypass
blog.talosintelligence.com/2022/06/vuln-spotlight-anker-eufy-homebase.html
| この記事をシェア |
|
|---|
