【CODE BLUE 2023】タルン・イェン / a-Lun Yen
●Abstract
モデム(そして通信事業者)もまたそれほど安全ではない ー 6つのゼロデイ脆弱性が1週間で400万台のモデムに[ja]
Modems (and telecoms) are also not as secure - 6 0-days to 4 million modems within a week [en]
今回はテクニカルのカテゴリから「モデム(そして通信事業者)もまたそれほど安全ではない ー 6つのゼロデイ脆弱性が1週間で400万台のモデムに」の講演を行うタルン・イェン氏のインタビューをお届けします。
講師のイェン氏はOTのセキュリティ・ソリューションを提供するTXOne Networksのシニア脆弱性リサーチャーを務めており、CODE BLUEでは2021年にNAS製品の脆弱性調査、2020年にOTのHMI(Hunan Machine Interface)のセキュリティを調査し発表しています。
今回のテーマは、光回線モデムの脆弱性調査です。イェン氏は、製品のファームウェアを抽出、リバースエンジニアリングやファジングなどの調査を行い、その結果、1週間で6つのゼロデイ脆弱性を発見したといいます。これらの脆弱性を悪用すれば、リモートから製品の乗っ取りも可能とのこと。さらに、影響は日本を含む複数の国に及ぶそうです。
●Bio
タルン・イェン[ja]
Ta-Lun Yen [en]
ーーー
●Interview
[ja]インタビュー
Q1. あなたが発表するトピックは、どのようにして取り組み始めたのですか?
ある日の午後、モデムの傍らで猫が寝ている姿を見て、ふと、モデムが本当に安全なのか疑問に思い始めました。家庭用ルーターやNAS、IoT製品に対するゼロデイ脆弱性はありましたが、家の玄関口に相当するモデムにはありませんでした。多くの研究者やバグハンターは、市場で直接購入できるデバイスやソフトウェアに焦点を当てていましたが、ISPの所有物でありユーザーにレンタルされているモデムには注目していなかったのです。
Q2. この研究中に直面したいくつかの課題は何でしたか?
脆弱性の報告やベンダーとのコミュニケーションが課題でした。国家安全保障を危険にさらす可能性のある(特定の国にしか通用しない)エクスプロイトがある場合、機密性と完全性を維持できる誰かに報告するのが最善です。これは、国が運営するCERTであるべきです。しかし、どの国にも市民と連携できる国営のCERTがあるわけではありません。さらに、特に国有のISPは非常に厳格な組織構造と文化を持っており、すべての事項が官僚制の層を通過しなければならなかったこともたいへんでした。
Q3. このトークに参加を検討している人々に伝えたいメッセージは何ですか?
できれば、ISPはより安全なモデムを構築でき、国々はもっと友好的CERTプロセスに取り組むべきです。研究者たちは悪意の意図を持たずに、あなたのシステムを悪用する悪い人々が現れる前に、あなたを保護するためにいるのです。
ーーー
[en]Interview
Q1. How did you initiate your journey into the topic that you are presenting?
A1. My cat was sleeping next to my modem on one particular afternoon, and I started wondering if the modems were secure at all. There were 0-days against home routers, NASes, IoTs, but not the modem, which usually is the "real" front gate of your home. Most researchers and bug hunters were focusing on devices or software you can buy directly on the marketplace, but less focused on modems, which usually are ISP's property and rented to the user.
Q2. What were some challenges you faced during this research?
A2. Vulnerability reporting and communicating with the vendors. When you have an exploit chain that can jeopardize national security (that only works on that nation), it's best to report to someone who can uphold confidentiality and integrity, which means it should be a nation-run CERT. However, not every nation has a nation-run CERT that can work with any citizen. Furthermore, ISPs, especially national-owned ones, have a very rigid organizational structure and culture, and everything has to go through layers of bureaucracy.
Q3. What message would you like to convey to those considering attending this talk?
Hopefully, ISPs can build more secure modems, and nations should work on a friendlier CERT process. Researchers are there to protect you before bad people exploit your system without malicious intent.