完璧なセキュリティ ソリューションはありません。人は間違いを犯します。技術は衰退する。そしてソフトウェア システムも侵害される可能性があります。

これらの脆弱性は、セキュリティ テクノロジーのメーカーが自社製品を定期的にテストし、デバイスの問題を特定した誠意ある研究者に迅速に修正できるように対応するプロセスを整備することが非常に重要であることを意味します。

アクシス コミュニケーションズでは、これらのプロセスの 1 つが過去数か月間、残業を続けています。今年の初めに、Claroty の Team82 の研究者は、ビデオ監視製品に 4 つの脆弱性があることをスウェーデンの大手メーカーに通知しました。

会社はほぼ即座に対応し、最終的にはパッチを開発して顧客に配布しました8 月 6 日にネバダ州ラスベガスで開催された Black Hat セキュリティ カンファレンスのプレゼンテーションでの脆弱性。

「結局のところ、すべてのものには脆弱性があります」と、Claroty の脆弱性研究主任である Noam Moshe 氏は語ります。セキュリティ管理ブラックハットのデモの前。 「唯一の問題は、ベンダーがどのようにそれらに確実に対処するかということです。」

脆弱性

モシェ氏は、アクシスの製品が政府機関、教育機関、空港、フォーチュン 500 企業など「あらゆる種類の興味深く重要な場所で頻繁に使用されている」ため、アクシスの研究に特に興味を持っていたと述べています。彼はまた、Axis IP カメラを組織のネットワークへのピボット ポイントとしてどのように使用できるかについても検討したいと考えていました。

Axis カメラは伝統的にエンタープライズ レベルで使用されています。つまり、組織には数百とは言わないまでも数十のデバイスが導入されている可能性があります。組織はソフトウェアを使用します 集中サービスを通じてカメラ群を管理します。また、 も使用されます。これにより、エンド ユーザーはカメラ フィードを確認できるようになります。これらのシステム間の通信は、Axis が開発した独自のプロトコルである Axis.Remoting を使用して行われます。

今年初めの数か月の間に、チームはアクシスの製品に 4 つの脆弱性を発見したとモシェ氏は言います。最も重大なのは、Axis 独自のプロトコルに影響を与えるリモート コード実行で、攻撃者がそのプロトコルを使用してシステムと通信するエンドポイントやサーバー上でコードを実行できるようになります。

「サーバーの制御は、実際には非常に重要です。なぜなら、A) サーバーを制御しており、企業のネットワーク内の非常に強力なサーバー上でコードを実行できること、そして B) サーバーによって制御されているさまざまなカメラをすべて制御できることを意味するからです」と Moshe 氏は説明します。 「これにより、攻撃者は会社のネットワークに侵入し、その組織内のすべてのさまざまな Axis カメラを制御できるようになります。」

その脆弱性に加えて、Axis が導入していた認証プロトコルを回避するための認証バイパスも Team82 が発見したと Moshe 氏は述べています。

「バイパスを発見しました。つまり、事前知識のソースを必要とせずにサーバー上でコードを実行できるということです。つまり、サーバーに接続できれば十分です。」と Moshe 氏は付け加えました。 「サーバー上でコードを実行し、サーバーが管理するさまざまなカメラをすべて制御できます。」

モシェは発見された脆弱性を文書化し、そのを通じてアクシスにレポートを提出しました。

応答

Axis には、提出された脆弱性をレビューするソフトウェア開発チームとソフトウェア セキュリティ グループのチームがあります。彼らは Moshe の報告書を受け取り、それを評価し、それが重要であるということに同意した、と Axis Communications Americas のサイバーセキュリティ プログラム マネージャー、CISSP の Wayne Dorris 氏は述べています。

その後、同社は脆弱性に対するパッチの開発を開始し、Team82 と協力して 7 月 11 日を一般公開日として設定しました。パッチは公開のかなり前の 5 月と 6 月に準備が整い、公開されました。

「非常に警戒している顧客もいます。新しいソフトウェアがリリースされるとすぐに導入を開始します」と Dorris 氏は言います。 「利点は、私たちが実際に脆弱性を発表した時点で、すでにパッチが適用されている可能性があることです。」

まだパッチを適用していない人にとって、公開は早急にパッチを適用するよう強く推奨するものとなるでしょう。なぜなら、Axis は脆弱性の 1 つを重大度 (10 段階評価中 9) として重大と評価したからです。

「レベル 9 にあるものは、顧客として、すぐにパッチを適用する必要があることを意味します。」と Dorris 氏は言います。

Axis は、この脆弱性を共通脆弱性評価システム (CVSS) の評価でこのレベルに設定しました。悪用された場合、攻撃者がデバイス上で独自のコードの実行を開始し、クライアントによって許可されていない操作をデバイスに実行させる可能性があるためです。

アクシスは内部システムを使用して顧客に警告しました。Web サイト、および国立標準技術研究所 (NIST) と MITRE が運営する一般的な脆弱性と暴露 (CVE) データベースへの脆弱性レポートを通じて。 Team82 は、脆弱性の影響を受けるプロトコルを公開しているサーバーを 6,500 台以上発見しました。 Axis は脆弱性の悪用を認識しておらず、その後何人の顧客が脆弱性を軽減するためにパッチをインストールしたかは不明です。

「サイバーセキュリティ全体を見てみると、最大の課題は人々にソフトウェアを更新してもらうことです」とドリス氏は言います。 「残念ながら、おそらくパッチを適用する人が必要よりも少なかったのではないかと思います。」

プロセスの構築

2015 年に遡ると、あるセキュリティ研究者が Axis のエンドポイントの 1 つにかなり大規模なリモート コード実行の脆弱性を発見しました。しかし当時、同社は、他の多くの企業と同様に、外部の研究者が使用できる正式な脆弱性報告システムを持っていなかった、とドリス氏は回想します。

代わりに、研究者は会社の Web サイトから連絡先情報を見つけてレポートを提出し、最終的にはアクシスの適切な担当者に連絡して深刻な脆弱性に対処したとドリス氏は付け加えました。

このやり取りは、アクシスが製品のライフサイクル全体を通じてセキュリティを向上させるための 2 つの主要プロジェクトにすでに取り組んでいたときに起こりました。そして認定命名機関 (CNA) になります。 CNA は、脆弱性に固有の CVE を割り当て、その情報を CVE システムで公開できる組織です。

ドリス氏は、アクシズ社がCNAになることを推し進めたのは、そうすれば文書化されたCVEをCNAに報告できるようになるからであると述べている。データベース。そのため、製品の最終顧客は、たとえシステムをインストールしたインテグレータとの関係がなくなったとしても、システムに影響を与える CVE に関する最新情報を常に得ることができます。

アクシスはまた、自社の製品に影響を与える脆弱性を提出した研究者に報酬を与える機能も持ちたいと考えていました。で動作しました虫の群れまず、Axis の OS (会社のエンドポイント デバイスを実行するソフトウェア) に焦点を当てた非公開のバグ報奨金プログラムを作成します。

アクシズは、プログラム開始から最初の 6 か月間で研究者にいくつかの報奨金を支払いました。 Bugcrowd はまた、組み込みデバイスを専門とする研究者と同社をマッチングするのにも役立ち、1 年半で Axis の研究者プールは 200 名から 2,000 名をはるかに超えるまでに成長しました、とドリス氏は回想します。

それ以来、Axis はカメラ ステーション ソフトウェアを追加し、Axis OS 用の公開バグ報奨金プログラム (現在も Bugcrowd で実行されている) を作成しました。計画では、アクシスの定期的な侵入テストの取り組みと並行して、製品が継続的に外部研究者によるテストを受けられるように、バグ報奨金プログラムに時間の経過とともにさらに多くの製品ラインを追加する予定です。外部の研究者は、同社が製品のセキュリティを維持するのを支援すると同時に、開発プロセスの定期的なレビューを強化します。

たとえば、モシェの報告書が提出され、脆弱性に対処するパッチが作成された後、チームは自らのプロセスを見直し、改善できる点を特定したとドリス氏は述べています。

「私たち内部にとってさらに重要なのは、なぜ開発モデルがこれを採用しなかったのかを遡って検討することでした。」ドリスは言う。 「これを見逃したのはどこですか? バグ報奨金プログラムの調査結果を見ると、その目的は、過去に戻って「何が欠けているのか? この開発モデルにこれを見逃したことを意味する何かがあるだろうか?」を確認することです。

「そこが学びです。過去に戻って、『将来この種の脆弱性について心配する必要がないようにモデルを変更するにはどうすればよいでしょうか?』と考えるのです。」と Dorris 氏は付け加えました。

研究者の感想

モシェは過去 5 年間脆弱性を公表しており、目標はすべてが確実に保護されることであると述べています。

「Axis は、私たちが脆弱性を開示してから数週間でパッチを作成し、すべての顧客が確実に保護されるように努めてくれました。」と Moshe 氏は付け加えました。 「デバイスの安全性を可能な限り確保するために、セキュリティを重視する企業と協力できるのは素晴らしい経験です。」

📰の Noam Moshe が議論しましたによるアクシス コミュニケーションズのビデオ監視製品に関する調査:今日のブラックハットのニュースデスク。 ⚠️ 技術ブログを読む:

— クラロティ (@Claroty)

脆弱性開示プログラムを実施している、または検討している他のセキュリティ企業に対して、Moshe 氏は、研究者が脆弱性を直接報告するために使用できる専用のセクションを自社の Web サイトに設けることを推奨しています。このセクションでは、脆弱性を報告するプロセスと、その報告に対する応答に予想される連絡タイムラインについても説明します。

さらに多くの企業がこれらのプログラムを作成し、それをサポートするチームを備えており、これは良い傾向であるとモシェ氏は言います。

「結局のところ、特定のベンダーの特定の製品に脆弱性が発見された場合、デバイスが確実に保護されるように取り組んでいるその組織の担当者と連絡を取る手段がなければ、研究者としてその情報を企業に届けるのは非常に困難です。」

 

最も人気のある記事

1. 効果的なプレゼンテーションでキャリアを強化

2. 奇抜なセキュリティ関連のニュース記事で一休みしてください

3. ストーリーテリングが企業セキュリティの究極のスーパーパワーである理由