ホワイトハウスおよび軍戦略センターでバックドアアカウント発見

Softpediaに1月21日(米国時間)に掲載された記事「Backdoor Account Found on Devices Used by White House, US Military」が、ホワイトハウスと軍事戦略センターで使われているAMXデバイスのファームウェアにバックドアアカウントが発見されたことを伝えた。会議室機材の制御に使われるAMX NX-1200の古いバージョンに一連のバックドアアカウントが発見されたと説明がある。

研究者らはsetUpSubtleUserAccountと呼ばれるソースコードに秘密のユーザーアカウントを作成する機能があることを発見。この機能で作成したアカウントはデバイスの設定画面には表示されない仕組みになっていたという。作成されるアカウントの名前はマーベラスコミックスの生み出したスーパーヒーローのキャラクター「BlackWidow(ブラック・ウィドウ)」だったとのことだ。

この脆弱性を発見したSEC ConsultはAMXに問題を報告し、AMXは問題を修正したファームウェアを公開。しかし、SEC Consultが調査を実施したところ、アカウント名がBlackWidowから1MB@tMaN(I am Batman、アイ・アム・バットマン)に変更されているだけで、同じ機能が残っていることが発見されたとしている。

SEC Consultはその後もAMXに働きかけを続け、現在公開されている最新版ではどちらのアカウントも存在しないとリリースノートには掲載されている。AMXはこれらアカウントはデバッグ目的で使われていたと説明している。