公開日:2015/10/30 最終更新日:2015/10/30

JVNVU#95207184
Qolsys IQ Panel に複数の脆弱性

概要

Qolsys IQ Panel のすべてのファームウェアバージョンには、ハードコードされた暗号鍵の問題、ソフトウェアアップデート時に署名を正しく検証しない問題および脆弱なバージョンの Android OS を使用している問題が存在します。

影響を受けるシステム

  • Qolsys IQ Panel

詳細情報

Qolsys IQ Panel は Android OS ベースのホームオートメーション機器用タッチスクリーンコントローラです。全てのファームウェアバージョンには次の脆弱性が存在します。

暗号鍵がハードコードされている問題 (CWE-321) - CVE-2015-6032
Qolsys IQ Panel には複数のハードコードされた暗号鍵が含まれています。攻撃者はこれらの鍵を使用して不正なコードに署名することで、当該機器に正しいコードであると認識させることが可能となります。

デジタル署名を正しく検証しない問題 (CWE-347) - CVE-2015-6033
Qolsys IP Panel はソフトウェアアップデートをインストールする際、デジタル署名を正しく検証できません。攻撃者による不正なアップデートであっても当該機器は正しいものであると認識してしまいます。

OWASP Top Ten 2013 Category A9 - 既知の脆弱性を持つコンポーネントの使用 (CWE-937)
Qolsys IP Panel は既知の脆弱性を含む旧バージョンの Android OS を使用しています。攻撃者は Android 2.2.1 に存在する既知の脆弱性を使用して当該機器を攻撃することが可能です。

想定される影響

遠隔の攻撃者によって当該機器に不正なファームウェアやソフトウェアアップデートをインストールされる可能性があります。また Android 2.2.1 に存在する既知の脆弱性を使用して当該機器を攻撃することが可能です。

対策方法

2015年10月30日現在、対策方法は不明です。
開発者はこれらの脆弱性を修正した QOL 1.5.1 を 2015年11月にリリース予定であるとしています。

ワークアラウンドを実施する
修正版がリリースされるまでの間、次の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • 信頼できるホストのみ接続を許可する

ベンダ情報

ベンダ リンク
Qolsys Home Security |Alarm Systems & Automation |Surveillance System

参考情報

  1. CERT/CC Vulnerability Note VU#573848
    Qolsys IQ Panel contains multiple vulnerabilities
  2. CVE Details
    Google » Android » 2.2.1 : Security Vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.10.30における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に複雑な条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:7.6

分析結果のコメント

この CVSS は CVE-2015-6033 を評価したものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-6032
CVE-2015-6033
JVN iPedia