イリノイ州の10代の学生が、卒業前に学区内で行った悪ふざけで、Exterity IPTVシステムにゼロデイ脆弱性があることを発見しました。
2021年4月30日、Minh Duongと友人たちは、イリノイ州タウンシップ高校区214の6つの高校に設置されているネットワークテレビやその他のディスプレイをすべて乗っ取り、重要な発表を装って「Never Gonna Give You Up」を流しました。
このハッキングは、公開されたブログ記事で詳細に説明されており、学校のネットワークに接続されている機器をスキャンし、そのファームウェアにバグがないかを分析。授業や他の試験の妨げにならないよう、休み時間に学校のテレビやディスプレイを乗っ取るためのペイロードを展開するというタイミングで行われました。
このような綿密な計画の結果、大成功を収めることができ、その様子は同地区の生徒たちがソーシャルメディアで公開しています。
ハッキングの手配に何年もかかったと語っています。
私たちのアーカイブで見つけた最も古いスキャンログのタイムスタンプは2017年11月28日で、ネットワークリソースの文書化を開始したのは12月3日でした
ネットワーク上の誰もが、どの建物のどのカメラにも認証なしで接続できてしまっていたからです
しかし、このイタズラを成功させるために重要な役割を果たしたのは、同地区が内部のセキュリティカメラやネットワーク上のディスプレイのストリーミングと制御に使用していたExterity IPTV製品に存在する一連の特権昇格の脆弱性でした。
1つは単純なGTF-binでしたが、残りの2つは公開できない(公開すべきでない)新規の脆弱性です
現在、イリノイ大学アーバナ・シャンペーン校に在学中のMinh氏は、2つのゼロデイの報告についてベンダーに問い合わせたが、同社からの返答はなかったという。
Exterity社のファームウェアアップデートはすべてカスタマーポータルにロックされているため、これらの問題がどこかの時点でパッチされているかどうかは確認できませんが、2020年後半のアップデートには存在していることは確かです
Minhさんは今、「サイバーセキュリティの仕事に就きたいと思っている」とコメントしているそうです。
Comments