Bitdefender Identifies Security Vulnerabilities Enabling Man-in-the-Middle Exploits
2025/03/13 gbhackers — サイバーセキュリティ企業の Bitdefender が公開したのは、同社のレガシー BOX v1 デバイスに影響を及ぼす、2つの深刻度の高いセキュリティ脆弱性に関する情報である。これらの脆弱性が悪用されると、リモート・コード実行や中間者攻撃の可能性が生じるという。
この脆弱性は、2025年3月12日に特定されたものであり、Bitdefender による販売とサポートが終了した製品に影響を及ぼすものである。したがって、今回の情報公開は、製造中止になった製品であっても、セキュリティの透明性を確保するという、Bitdefender の継続的な取り組みを示している。
レガシー・ハードウェアに発生した深刻な脆弱性
スマート・ホーム向けに包括的なセキュリティ・ソリューションを提供してきた Bitdefender BOX v1 に、深刻なセキュリティ欠陥が発見され、ネットワーク全体を危険にさらす可能性が示唆されている。
セキュリティ研究者たちが発見した2つの脆弱性は、いずれも CVSS スコアが 9.4 という値を示している。つまり、このデバイスを使い続けているユーザーは、直ちに対応する必要がある。
1つめの脆弱性 CVE-2024-13871 は、未認証の攻撃者に対してコマンド・インジェクションを許し、2つ目の脆弱性 CVE-2024-13872 は、安全が確保されない更新メカニズムを介した中間者攻撃を許しやすいものである。ネットワーク・セキュリティを強化するために設計されたデバイスに影響を与える、これらの脆弱性は、きわめて厄介なものである。
この種のセキュリティ・アプライアンス自体が攻撃の媒介になると、一般的なコンシューマ・デバイスの脆弱性よりも、はるかに深刻な結果をもたらす可能性がある。一般的に、ネットワーク・セキュリティ・デバイスは特権アクセスを持っているため、複数のシステムを同時に侵害しようとする、高度な脅威アクターにとって価値の高いターゲットになり得る。
脆弱性の技術的詳細
1つ目の脆弱性 CVE-2024-13871 は、ファームウェア・バージョン 1.3.11.490 を実行する Bitdefender BOX v1 の “/check_image_and_trigger_recovery” API エンドポイントへの、認証を必要としないコマンド・インジェクションの欠陥である。
この脆弱性の悪用に成功した、ネットワークに隣接する攻撃者は、認証資格情報を必要とせずにデバイス上で任意のコマンドを実行できる。
潜在的な影響には、システム全体の侵害が含まれる。つまり、攻撃者は、システム・コンフィグの変更や機密情報へのアクセスに加えて、さらなるネットワーク侵入の起点として、侵害したデバイスを悪用する能力を得る。
2つ目の脆弱性 CVE-2024-13872 は、ファームウェア・バージョン 1.3.11.490 〜 1.3.11.505 に影響を及ぼすものである。安全が確保されない HTTP プロトコルを使用して、このデバイスがインターネット経由で、更新をダウンロードすることに起因する。
この脆弱性は、”/set_temp_token” API メソッドを介してトリガーされる可能性があり、ネットワークに隣接する攻撃者は、更新プロセス中に中間者攻撃を実行できる。
その際に、更新トラフィックを傍受して変更する攻撃者は、デバイスがデーモンを再起動するときに、システム権限で実行される悪意のあるコードを挿入し、完全なリモート・コード実行を引き起こす可能性を手にする。
| CVE ID | CVSS Score | Affected Product | Vulnerability Details | Remediation |
| CVE-2024-13871 | 9.4 | Bitdefender BOX v1 (fw 1.3.11.490) | Command injection in /check_image_and_trigger_recovery API allowing unauthenticated code execution | Update to version 1.3.11.510 |
| CVE-2024-13872 | 9.4 | Bitdefender BOX v1 (v1.3.11.490-505) | Insecure HTTP protocol for updates enabling man-in-the-middle attacks | Product unsupported; upgrade recommended |
これらの脆弱性の発見/公開が浮き彫りにするのは、IoT およびネットワーク・セキュリティ・デバイスにおける、継続的なセキュリティ上の課題である。寿命を迎えた製品を使い続けるユーザーには、脆弱性によるリスクが残される可能性がある。
これらの問題を公開したのは、Bitdefender の社内研究者と、外部のセキュリティ・アナリスト Alan Cao である。すべてのネットワークに接続されたデバイスにおける、ライフサイクル・セキュリティ管理の重要性を、改めて認識させる貴重な事例である。
製造中止になった Bitdefender BOX v1 の脆弱性に対するアドバイザリが発行されました。EoL 製品の脆弱性は攻撃対象になることもあるため、ユーザーとしてはありがたいですね。同様に、つい2ヶ月前には、Node.js も EoL バージョンに対する CVE の発行を発表しています。よろしければ、以下の関連記事も、Bitdefender で検索と併せて、ご参照ください。
2025/01/09:Node.js の新たな試み:EoL バージョンに対する CVE の発行
2025/02/05:Zyxel Routers の EoL 製品に積極的な攻撃
2024/11/15:GeoVision の EoL デバイスを狙う積極的な悪用を観測
IoT OT Security News 
You must be logged in to post a comment.