ベルキンの人気スマートプラグ「Wemo」にパッチ未適用の深刻な脆弱性が発見される

Belkinの第2世代Wemo Mini Smart Plugにバッファオーバーフローの脆弱性が発見され、脅威行為者がこれを悪用してリモートで任意のコマンドを注入する可能性があることが判明しました。イスラエルのIoTセキュリティ企業Sternumは、2023年1月9日にこの問題を特定し、識別子CVE-2023-27217を付与してBelkinに報告しました。Sternumは、デバイスをリバースエンジニアリングすることでファームウェアアクセスを獲得しました。

Wemo Mini Smart Plug V2（F7C063）は、スマートフォンやタブレットにインストールされたコンパニオンアプリを通じて、ユーザーが電子機器を遠隔操作できるよう設計されています。

この脆弱性は、ユーザーがスマートプラグの名前をより使いやすい名前に変更できる機能に起因しています。デフォルトの名前「Wemo mini 6E9」には30文字という制限があり、これはファームウェアのコードではなく、アプリ自体によってのみ強制されます。PythonモジュールpyWeMoを使用してこの欠陥を悪用すると、バッファオーバーフロー状態が発生し、デバイスのクラッシュや不正なコマンドの実行による不正な制御が可能となります。

ベルキンは、このデバイスが耐用年数（EoL）に達し、より新しいモデルに置き換えられるため、この脆弱性に対処しないと表明しています。

研究者は、この脆弱性はクラウドインターフェースを通じて発動することができるため、デバイスに直接接続しなくてもリモートで悪用することができると警告しています。

修正プログラムがない場合、Wemo Mini Smart Plug V2のユーザーは、インターネットに直接露出することを避け、機密性の高いネットワークに導入されている場合は、適切なネットワークセグメンテーション対策を実施することをお勧めします。

Sternum社のマーケティング担当副社長Igal Zeifmanは、デバイス上での保護の重要性を強調し、応答性の高いセキュリティパッチだけに頼っていると、デバイスは常に攻撃者とのキャッチボールを強いられ、最終的にはパッチの提供を停止することになると指摘しています。