論文の概要: Anchors that Don't Lift: Understanding Supply Chain Driven Kernel Lock-In and Governance-Mediated Mitigation Strategies in SOHO Devices
- arxiv url: http://arxiv.org/abs/2606.11175v1
- Date: Tue, 09 Jun 2026 17:51:26 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-11 16:42:38.072602
- Title: Anchors that Don't Lift: Understanding Supply Chain Driven Kernel Lock-In and Governance-Mediated Mitigation Strategies in SOHO Devices
- Title(参考訳): 自由なアンカー:SOHOデバイスにおけるサプライチェーン駆動カーネルロックインとガバナンス媒介型緩和戦略の理解
- Authors: Ritwik Badola, Rajdeep Ghosh, Ashita Gupta, Chester Rebeiro, Mainack Mondal,
- Abstract要約: 小型のOffice/Home Office (SOHO) デバイスは広く普及しているが、ファームウェアのセキュリティ上の脆弱性のためにしばしば攻撃される。
以前の作業では、Linuxバージョン抽出とバージョン番号ベースの脆弱性マッピングによって、この問題の範囲と影響を監査していた。
我々は、高精度テンプレートベースのCVE検出機構を用いて、306 SOHOデバイスで見つかった実際のカーネル関連脆弱性を明らかにする。
- 参考スコア(独自算出の注目度): 9.169153006986479
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Small Office/Home Office (SOHO) devices are widely popular, yet often attacked due to security vulnerabilities in their firmware, affecting thousands of devices. These security vulnerabilities often stem from outdated Linux kernel versions included in SOHO device firmware. Naturally, prior work audited the extent and impact of this issue by simple Linux version extraction and version number based vulnerability mapping. However, it is unclear how many of these anticipated vulnerabilities actually exist in the heavily customized SOHO kernels and if there are any barriers towards updating Linux kernels in SOHO firmwares. To address this gap, we uncover actual kernel-related vulnerabilities found in 306 SOHO devices using a high-precision template-based CVE detection mechanism on GPL source releases of more than 900 firmwares from these devices. Next, as a first, we traced the supply chain of these vulnerable SOHO devices at scale and identify kernel lock-in as a significant security issue -- SOHO vendors are effectively locked to specific (often older) kernel versions due to the system-on-chip (SoC) SDKs they use. This kernel lock-in produces a vulnerability debt that is inherited along the supply chain from SoC vendor to firmware creators (ODM/OEM) to router/IP-camera vendor and ultimately borne by end users. All five SoC vendors in our dataset had used SDKs with Linux kernels that had reached EoL more than a year before their usage in a SOHO device. Finally, we explore the mitigation-potential of individual, regulatory and community governance by analyzing social media posts, regulations and community efforts. Our results show that regulation compliance is insufficient and only SoC vendors who engage with communities for kernel upgradation offered a viable path towards mitigation. The data and code for this work is available at https://doi.org/10.5281/zenodo.20433799
- Abstract(参考訳): 小型のOffice/Home Office(SOHO)デバイスは広く普及しているが、ファームウェアのセキュリティ上の脆弱性によって攻撃され、数千のデバイスに影響を及ぼす。
これらの脆弱性は、SOHOデバイスファームウェアに含まれる古いLinuxカーネルバージョンに由来することが多い。
当然、以前の作業では、単純なLinuxバージョン抽出とバージョン番号ベースの脆弱性マッピングによってこの問題の範囲と影響を監査していた。
しかし、これらの脆弱性のうち、厳格にカスタマイズされたSOHOカーネルに実際にどの程度存在するのか、また、SOHOファームウェアでLinuxカーネルを更新する障壁があるかどうかは不明である。
このギャップに対処するため、我々は、900以上のファームウェアのGPLソースリリース上で、高精度テンプレートベースのCVE検出メカニズムを使用して、306のSOHOデバイスで見つかった実際のカーネル関連脆弱性を明らかにした。
次に、最初に、これらの脆弱性のあるSOHOデバイスのサプライチェーンをトレースし、カーネルロックインを重大なセキュリティ上の問題として認識しました。
このカーネルロックインは、SoCベンダーからファームウェアクリエーター(ODM/OEM)、ルータ/IPカメラベンダーへと引き継がれ、最終的にエンドユーザによって引き継がれる脆弱性の負債を生み出す。
私たちのデータセットにある5つのSoCベンダはすべて、SOHOデバイスでの使用より1年以上前にEoLに到達したLinuxカーネルを備えたSDKを使用していました。
最後に、ソーシャルメディアの投稿、規制、コミュニティの取り組みを分析し、個人、規制、コミュニティガバナンスの緩和の可能性について検討する。
以上の結果から,カーネルアップグレードのコミュニティに携わるSoCベンダだけが,規制の遵守が不十分であることが示唆された。
この作業のデータとコードはhttps://doi.org/10.5281/zenodo.20433799で公開されている。
関連論文リスト
- FIDEM: A Standard-Compliant Framework for Secure Binding of MUD Profiles to IoT Devices [90.91375734523943]
FIDEMは、DHCPベースのMUDURL発行を保証するための標準準拠のフレームワークである。
これはZero-Knowledge-Proof認証を利用することで、IoTデバイスとそのMUDプロファイル間の暗号化バインディングを提供する。
論文 参考訳(メタデータ) (2026-05-28T09:16:50Z) - Outrunning LLM Cutoffs: A Live Kernel Crash Resolution Benchmark for All [57.23434868678603]
Live-kBenchは、新たに発見されたカーネルバグのエージェントをスクラップし、評価するセルフ進化ベンチマークの評価フレームワークである。
kEnvは、カーネルのコンパイル、実行、フィードバックのためのエージェントに依存しないクラッシュ解決環境である。
kEnvを用いて3つの最先端エージェントをベンチマークし、最初の試行で74%のクラッシュを解決したことを示す。
論文 参考訳(メタデータ) (2026-02-02T19:06:15Z) - Linux Kernel Recency Matters, CVE Severity Doesn't, and History Fades [2.204918347869259]
2024年、Linuxカーネルは独自のCommon Vulnerabilities and Exposures and Numbering Authority (CNA)となった。
我々は、メタデータ、関連するコミット、パッチのレイテンシを使ってカーネルCVEの解剖学とダイナミクスを分析し、パッチの動作を理解する。
論文 参考訳(メタデータ) (2026-01-29T12:45:35Z) - SBOMproof: Beyond Alleged SBOM Compliance for Supply Chain Security of Container Images [3.101218489580587]
政府は最近、ベンダーがエンドユーザや規制当局と資料のソフトウェア法案を共有することを要求するサイバーセキュリティ規制を導入した。
SBOMは、ソースコードにアクセスしなくても、ソフトウェアコンポーネントのセキュリティ脆弱性を特定するために使用できる。
本研究は、SBOM生成および脆弱性スキャンのためのツールの包括的な研究を通じてこの問題を評価する。
論文 参考訳(メタデータ) (2025-10-07T11:17:51Z) - What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。
LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
論文 参考訳(メタデータ) (2025-09-26T18:06:36Z) - CrashFixer: A crash resolution agent for the Linux kernel [58.152358195983155]
この作業は、システムレベルのLinuxカーネルバグのベンチマークと、Linuxカーネルで実験を実行するプラットフォームを共有するkGymの上に構築されている。
CrashFixerはLinuxカーネルのバグに適応する最初のLCMベースのソフトウェア修復エージェントである。
論文 参考訳(メタデータ) (2025-04-29T04:18:51Z) - KernJC: Automated Vulnerable Environment Generation for Linux Kernel Vulnerabilities [13.479046300981832]
Linuxカーネルの脆弱性の再現はシステムセキュリティにおいて重要なタスクである。
選択したカーネルバージョンの複製が脆弱であることを保証するのは難しい。
多くの脆弱性は、デフォルト設定で構築されたカーネルでは再現できない。
論文 参考訳(メタデータ) (2024-04-17T06:45:05Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。