[レポート]モデム（そして通信事業者）もまたそれほど安全ではない ｰ 6つのゼロデイ脆弱性が1週間で400万台のモデムに – CODE BLUE 2023 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2023で行われた以下のセッションのレポートです。

モデム（そして通信事業者）もまたそれほど安全ではない ｰ 6つのゼロデイ脆弱性が1週間で400万台のモデムに

FTTH（光ファイバー）モデムの “not as secure“ シリーズを携えて、私はCODE BLUEで再び講演します。ファームウェアダンプから始まり、1週間で6つのゼロデイ脆弱性を発見しました。発見したゼロデイ脆弱性を使って、通信事業者のインフラを侵害し、国全体のFTTHモデムを乗っ取ることができる攻撃チェーンを発見しました。

この講演では、ハードウェア攻撃者視点からの分解と分析の話から、国家攻撃者（nation-state actor）がシステム全体をどのように見ているかをお話します。

日本を含め、世界中のほとんどのISPが同様のセットアップを行っていると考えられます。この発表では、攻撃者がどのようにシステムに侵入できるのか、防御者は最悪のシナリオにおいて、そのような攻撃からどう守るのか、また通信機器へのアタックサーフェスモデルについてもお話します。

Presented by : タルン・イェン - Ta-Lun Yen

レポート

• タイトルの通りいくつか怖い話をする
• 通信機器のバグを発見し、インターネットを使う人が安全に利用できるようにしている
• 背景
  • 0dayは政治と結び付けられている
  • 戦争とはなにか
  • 戦争はほとんど空想の世界だと考えられている
  • 実世界の戦争には問題がある
    • 負ける可能性がある
    • フィクションなら国が物資を購入する資金が突然現れるが実際には稼ぐ必要がある
    • 実際にその国に行く必要がある
  • 本当は議会で真剣な話し合いが必要
  • しかし議会で話し合いがどうなるか、台湾人として理解している(うまくいっていない会議の図
• 重要インフラ
  • 国にとって重要なインフラがある
  • そこが侵害を受けると国の能力に影響がある
  • 全ての重要インフラが、戦争時であっても正常に動作する必要がある
  • シナリオとして、インフラを失うとGDPも現象し税収も現象する
  • 水の乗っ取りも問題
    • ダムを溢れさせる
    • 水力発電ができなくなる
    • 武器化して相手を浸水させることができる
  • 電気にも依存している
  • 電気通信のセクターもある
  • 電気通信に問題があるとほとんど止まる
• 電気通信インフラへの攻撃
  • ネットワーク施設に対する物理的な攻撃
    • レジリエンシーが考えられているため難しい
  • ではモデムを攻撃したらどうか？
• 用語集
  • OLT
    • 事業者のもの
    • IPをxPONにする
  • ONT
    • xPONをIPにする
  • ONU
    • 馴染み深いもの
    • Home Gateway
  • ここで言うモデムはONTかONU
• なぜモデムを攻撃するか
  • 数
    • NTTには20万台以上のモデムがある
    • 全て乗っ取れたらどうなるか
  • モデムはISPの資産
    • モデムの防御は難しい
  • モデムの機種は断片化されていない
    • 1つのエクスプロイトは他にも使える
• どのようなアーキテクチャか
  • IP CoreからOLTを経由してSplitterへ
  • ファイバーからONUへ
• 調査対象
  • 中華電信
  • 台湾最大の通信事業者
• 今回なぜ発表しているか
  • ISPのインフラを侵害する方法を発見した
  • いくつかの0dayを発見した
  • どう発生しどう保護するか
• 検証プロセス
  • 機器を取得して脆弱性を見つけた
  • Certに報告して4ヶ月ぐらいで公表された
• 手法
  • モデムをハッキングしてtelecomをハッキング
  • 全てのモデムをハッキングする
  • 実際にそれがうまくいった
• 過去の文献
  • LANからモデムというものはある
  • しかしWANからモデムのアタックは記録がなかった
  • つまりリモートマネジメントに脆弱性があると考えた
• アタックサーフェイス
  • モデムのベースバンド
    • IPに変換する部分
    • ハードウェアに組み込まれているところなのでこれができればすべてのデバイスで侵害できる
  • Linux kernelを使っているのでその脆弱性をつければいい
  • ISPがモデムをリモートでマネジメントする
  • その他のサービス
    • 日本だとひかり電話とか
• リモートマネジメントの方式
  • 2つある
  • TR-069
  • Web management WAN
  • ISPはほぼWeb management WANを使っている
• やってみた
  • モデムを購入してバラバラにしてみた
  • このボードにはいくつかインタラクションポートがある
  • webを使ってやり取りできる
  • 他にもフラッシュメモリと直接やりとりもできる
  • 0 portを利用することにした
  • ブートローダーをとめてレスキューモードを起動させた
  • Broadcomの環境が出てきた
    • ダンプするには非常に速度が遅くて23日かかる
    • 流石に遅いので必要なところだけにして1.3日にした
  • モデムでshellを見つけた
  • Maintenon婦人に詳しく聞いた(IDA)
  • 致命的なミスがあってコマンドインジェクションできた
  • モデムのLAN側でRCEできた
• WAN側も探してみる
  • モデムは特定のPublic IPの接続を許可されている
  • なぜISPがこれを許可しているかはわからない
  • shodanで確認する
  • 古いFortigateっぽい
  • DVRもある
  • これを使って攻撃できた
  • こちらにもコマンドインジェクションが見つかった
  • テンプレートエンジンがあり、任意のコマンドを実行できる
• 火をつける
  • どうやってやっていくか
  • DVRの侵害ができる
  • つまり全てのモデムが侵害できる
  • 実際に自分の自宅のものに対して実現できた
  • 管理インターフェースにアクセスできる
  • すべてを組み合わせて実現してみる
  • しかしまだ欠けているものがある
  • モデムへのログインが求められる
  • ログインするためにどうするか
    • オープンソースを調べてみた
    • パスワードにMACアドレスが使われていた
    • これは調べられない
    • しかしGuestアカウントがあることもわかった
      • そこでWiFiが設定できる
      • オプションがある
      • そしてそこにMACアドレスが表示されている
  • これでいけそう
  • うまくいって私達がISPになることができた
• インパクト
  • リモートコード実行ができるようになった
  • インターネットから完全にモデムをコントロールできるようになった
  • スニッフィングできる
  • Proxyとして使うこともできる
• 結論
  • 様々な攻撃手法はいらない
  • モデムはIoTデバイスのように脆弱である
  • しかし世界中のISPでも同じ問題にさらされているはず
• 困難なこと
  • デバイスを取得する
  • レポートを以下にインパクトのあることか表現すること
  • 脆弱性の報告も難しい
    • 活用すれば国を乗っ取ることが出来てしまう
    • どこに報告するかも慎重に判断しなければならない
    • だれが先に発見しているかわからない
    • 国家安全保障にかかる問題
    • リークされる心配がある
    • 国家主導のCERTがないといけない
    • 報告者の安全とIdentityを守ってもらわないといけない
    • ベンダーに修正させる強制力が必要
• ISPではこの規模の問題を保護するのは難しい
  • レジリエンシーが大事
  • 防止は難しいが覚悟しなければならない
  • モニタリングし、マネジメントしないといけない
  • 監査もしないといけない
  • End-userネットワークデバイスを更新しないといけない
  • モダナイズしないと
  • セキュアコーディングとか適用していなければならない
  • デバイスが敵対的な環境に置かれることを考えないといけない

感想

モデムも通信インフラの一部と考えると、この重要性はとても高い事がよくわかりますね。

個人などで防衛が難しいことも大変な問題ですね。