Eclypsiumのセキュリティ研究者は、特定のLenovo Linux USBウェブカメラを永続的な「BADUSB」デバイスに変換する方法を実証し、キーストロークを注入し、ペイロードを配信し、完全なシステムの再インストールを生き残ることができます。
Jesse MichaelとMickey ShkatovがDEF Con 2025で発表したこの発見は、攻撃者がすでにシステムに接続されている周辺機器をリモートで武器化する最初の公開事例を示しています。
チームは、2つのLenovoモデル、510 FHDウェブカメラとパフォーマンスFHDウェブカメラに焦点を当てました。デバイスにはファームウェアの署名検証がないため、ホストの物理的なアクセスまたは以前のリモート妥協を持つ攻撃者は、カメラファームウェアを上書きすることができます。変更されたら、カメラはキーボード(HID)などの信頼できるUSBデバイスになりすまし、OSが再インストールされた後でも秘密のコマンドの実行とホストの再感染を可能にします。
この攻撃は、2014年にKarsten NohlとJakob Lellによって最初に発表された「BADUSB」コンセプトに基づいています。これにより、修正されたファームウェアは、通常のUSBデバイスをステルス攻撃ツールに変えます。従来、これにはターゲットシステムに悪意のある周辺機器を導入する必要がありました。エクリプシウムの仕事その障壁を削除し、既存の信頼できるデバイスを、それらを抜き取ったり交換したりせずに脅威に変えます。悪意のあるファームウェアはシステム全体で持続する可能性があります。つまり、武器化されたウェブカメラが接続する新しいホストに広がり、ハードウェアでサポートされている場合はWi-FiまたはBluetoothと相互作用する可能性があります。
グローバルな存在感を持つ主要なPCメーカーであるLenovoは、Sigmastarと協力して、2025年3月のEclypsiumの開示後の脆弱性に対処しました。追加の署名検証付きのファームウェア更新ツールは、2025年8月8日にセキュリティアドバイザリーとともにリリースされました。影響を受けるモデルのユーザーは、Lenovoのサポートサイトから更新されたファームウェアをダウンロードできます。
欠陥のルートは、USBを介したファームウェアアップデートコマンドの発行を容易にすることにあります。 Eclypsiumは、SFプローブ、SF消去、SF書き込みなどの単純なSPIフラッシュコマンドが、8MBのオンボードファームウェアを消去および書き換える可能性があることを発見しました。 Sigmastar SoCはUSBガジェットサポートを備えたフルLinuxスタックを実行しているため、侵害されたWebCamは複数のデバイスタイプをエミュレートし、OSレベルのコントロールをバイパスし、エンドポイント検出ツールを回避できます。
この研究は2つの特定のウェブカメラに焦点を当てていましたが、Eclypsiumは他のLinuxベースのUSB周辺機器に同様の弱点があると疑っています。ファームウェアの整合性チェックを欠いているデバイスは、理論的にはBADUSBスタイルの攻撃のために再利用できます。研究者は、これがUSBセキュリティモデルをシフトし、擁護者が信頼できるベンダーに由来する場合でも、添付のデバイスを潜在的に敵対的であると考えることを要求すると警告しています。
ユーザーは、リスクを軽減するために次のアクションをとることをお勧めします。
- 影響を受けるLenovo Webカメラを、公式のLenovoサポートサイトからファームウェアバージョン4.8.0に更新します。
- 特に機密環境では、可能であればUSBポートアクセスを制限します。
- 珍しいUSBデバイスの列挙、特に予期せずに表示される新しいHIDデバイスを監視します。
- USBファームウェアの完全性を検査できるエンドポイントセキュリティツールを検討してください。