UNISOCのモデムファームウェアに深刻なセキュリティ脆弱性が発見されました。この脆弱性により、攻撃者はセルラーネットワーク経由でリモートコードを実行できるようになります。UNISOCは、Motorola、Samsung、Vivo、Realmeといった大手モバイルブランドにチップセットを提供している大手半導体メーカーです。この修正されていない脆弱性は、数百万台のデバイスがリモートでの不正アクセスを受けるリスクにさらされています。
脆弱性の概要
この脆弱性は、攻撃者が単にセルラー通話を行うだけでターゲットデバイスを侵害することを可能にします。Session Initiation Protocol (SIP) シグナリングにおける標準的なSession Description Protocol (SDP)メッセージを細工することで、攻撃者は被害者の電話のモデム内でメモリ破壊を意図的に引き起こすことができます。この重大な脆弱性は、Common Weakness EnumerationシステムにおけるCWE-674として分類される、Uncontrolled Recursion(制御不能な再帰)の問題です。
根本的な問題は、ネットワークリクエストの長さや深さを適切に検証せずに、特定のメッセージ属性を処理する方法にあります。この脆弱性の根本原因は、SDPメッセージ内のacap属性を処理する責任を担う_SDPDEC_AcapDecoder関数にあります。モデムがこれらのメッセージを処理すると、解析された属性をルックアップし、対応するハンドラを呼び出します。しかし、この解析ロジックは、デコーダ関数が組み込みの制限なしに自身を再帰的に呼び出すため、非常に危険です。攻撃者が、単一行に複数のacap属性を連続した文字列で含む入力メッセージを送信すると、モデムはSIPタスクのスタックがオーバーフローするまで、これらの属性を繰り返し処理します。このオーバーフローにより、メモリが別のプロセススタック、具体的にはsblock_0_2タスクと衝突します。
このメモリ破壊を悪用可能にするためには、攻撃者はターゲットのsblock_0_2タスクが積極的に実行中であることを確認する必要があります。このタスクは、IP Multimedia Subsystem (IMS)コンテキストにおけるデータフラグメンテーション中にアクティブ化され、標準的なビデオ通話のような高帯域幅操作中に自然に発生します。追加の暗号属性を使用することで、攻撃者はスタックに制御された悪意のあるデータを導入し、重要な関数ポインタを上書きし、完全なリモートコード実行を達成できます。
独立系のセキュリティ研究者0x50594dは、SSD Secure Disclosureと連携して、制御されたテスト環境でこの攻撃を実証しました。SSDの研究者は、Docker化されたOpen5GSの展開とKamailio、LimeSDRアンテナによる4Gセルラー通信、そして被害者デバイスとして機能するターゲットスマートフォンを利用しました。カスタムの悪用スクリプトは、まず攻撃者のシミュレートされたデバイスをコアネットワークに認証し、悪意のあるペイロードを含む修正された招待メッセージを送信します。ペイロードの配信後、攻撃者は被害者デバイスにビデオ通話を開始します。通話が接続されデータフラグメンテーションが開始されると、スタックがオーバーフローし、モデムがクラッシュし、注入されたシェルコードが実行されます。
影響を受けるチップセット
このリモート攻撃ベクトルは、T612、T616、T606、T7250モデルなど、いくつかのUNISOCチップセットに影響を与えます。テストでは、7月2025年のAndroidセキュリティアップデートを実行し、MOCORTM_22A_W23.02.5_P12.14_Debugファームウェアを使用しているRealme C33スマートフォンで、このエクスプロイトが正常に再現されました。脆弱性は、完全に機能するリモートコード実行エクスプロイトと共に実証されました。
ベンダーの対応
研究者たちは、メールや専門ネットワークなど、複数のチャネルを通じてUNISOCに連絡を試みましたが、パッチに関する返答は得られませんでした。現在、ベンダーからファームウェアアップデートが利用できないため、影響を受けるモデムを使用しているデバイスは、この認証されていないリモートコード実行の脆弱性に対して大きなリスクにさられています。
- 深刻度:重大
- 脆弱性タイプ:リモートコード実行
- 影響:数百万台のデバイス
- 対応:ベンダーからのパッチ待ち