House Of Keys: 9 Months Later… 40% Worse
House Of Keys: 9 Months Later… 40% Worse 06.09.2016 research vulnerability In November 2015 SEC Consult released the results of our study on hardcoded cryptographic secrets in embedded systems. It’s time to summarize what has happened since. To accomplish the mammoth task of informing about 50 different vendors and various ISPs we teamed up with CERT/CC (VU#566724). We would really like to report
JVNDB-2015-006907 - JVN iPedia - 脆弱性対策情報データベース
多くの組込み機器が、固有でない X.509 証明書と SSH ホスト鍵を使用しているため、なりすましや中間者 (man-in-the-middle) 攻撃、通信内容の解読などの攻撃を受ける可能性があります。 暗号鍵がハードコードされている問題 (CWE-321) SEC Consult の Stefan Viehböck の調査によると、多くの組込み機器が、固有でない X.509 証明書と SSH ホスト鍵を使用して、インターネットからアクセス可能な状態にあるとのことです。ファームウェアイメージに、ハードコードされた鍵や、インターネットをスキャンして蓄積されたレポジトリである scans.io (特に SSH の結果と、SSL 証明書) のデータとフィンガープリントが一致する証明書を使用している機器は脆弱だと判断できます。影響を受ける機器は家庭用ルータや IP カメラから VoIP 製品に
多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。SEC Consultの調査では、約50社の900製品以上に脆弱性が見つかったという。CERT/CCによれば、Cisco、General Electric(GE)、Huawei Technologiesといった大手の製品でこの脆弱性が確認されたほか、未確認のメーカーも多数ある。 同一の証明書や鍵の使い回しは、ほとんどは同じ製品ラインやメーカー内にとどまっているものの、中には複数のベンダー間で同一の証明書と鍵が使われているケースもあった。これは共通のSDKで開発されたファームウェアや、ISP提供のファームウェアを使ったOEMデバイスに起因するという。 例えば、BroadcomのSDKに見つかった証明書は、Linksysなど複数のメーカー製のデバイス48万台あまりのファームウェアに使われていたとSEC Consultは報告して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Weiterleiten …
