セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-31151】LevelOne WBR-6012に重大な認証バイパスの脆弱性、起動直後の30秒間で未認証アクセスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• LevelOne WBR-6012に認証情報が固定化される脆弱性
• 起動後30秒間で未認証アクセスが可能に
• 強制再起動と組み合わせで継続的な攻撃の可能性

LevelOne WBR-6012の重大な認証バイパスの脆弱性

Talosは2024年10月30日、LevelOne WBR-6012のWebサービスにおいて認証情報が固定化される深刻な脆弱性【CVE-2024-31151】を公開した。デバイス起動後30秒間は未認証アクセスが可能となり、攻撃者は強制再起動と組み合わせることで継続的な不正アクセスを行える状態にある。^[1]

この脆弱性はメモリアドレス0x803cdd0fと0x803da3e6に固定された認証情報が存在することに起因しており、攻撃者はHTTP POSTパラメータを操作することで一般ユーザー権限を取得できる可能性がある。CVSSスコアは8.1と高く評価され、ネットワークからの攻撃が可能な状態だ。

Talosの調査によると、この脆弱性はファームウェアバージョンR0.40e6で確認されており、正規の機能では固定化された認証情報を変更することができない。また、TALOS-2024-XXXXXを利用することでユーザーパスワードの変更が可能になるという深刻な問題も報告されている。

LevelOne WBR-6012の脆弱性詳細

ハードコードされた認証情報について

ハードコードされた認証情報とは、ソフトウェアやファームウェアのコード内に直接埋め込まれたパスワードやアクセスキーのことを指す。主な特徴として以下のような点が挙げられる。

• プログラムコード内に直接記述された変更不可能な認証情報
• 製品やシステム全体で共通して使用される固定値
• セキュリティ上の重大な脆弱性となる可能性が高い

LevelOne WBR-6012の事例では、メモリアドレス0x803cdd0fと0x803da3e6に"AriesSerenaCairryNativitaMegan"という文字列がハードコードされており、この認証情報を用いることで一般ユーザー権限でのアクセスが可能となっている。特に起動後30秒間は未認証でのアクセスが可能であり、強制再起動と組み合わせることで継続的な攻撃が実行可能な状態だ。

LevelOne WBR-6012の脆弱性に関する考察

LevelOne WBR-6012の脆弱性は、IoTデバイスのセキュリティ設計における根本的な問題を浮き彫りにしている。特にハードコードされた認証情報の存在は、製品のライフサイクル全体を通じてセキュリティリスクとなり、攻撃者による不正アクセスの糸口となる可能性が非常に高いだろう。

今後同様の問題を防ぐためには、認証情報の動的な管理システムの実装と、初期設定時のパスワード変更の強制化が必要不可欠となる。また、ファームウェアの定期的なセキュリティ監査と、脆弱性が発見された場合の迅速なパッチ適用の仕組みも重要になってくるだろう。

IoTデバイスの普及に伴い、このような認証バイパスの脆弱性は深刻な影響をもたらす可能性がある。製造業者には、設計段階からのセキュリティ対策の徹底と、発見された脆弱性への迅速な対応が求められている。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-31151, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧