米Honeywellのホームオートメーション用コントローラに脆弱性

悪用された場合、ホームオートメーション装置に対して攻撃者がコマンドを出し、玄関の開錠や施錠などの操作を行うことが可能とされる。

» 2015年07月28日 15時44分 公開
[鈴木聖子ITmedia]
Tuxedo Touch Controller(HoneywellのYouTube画像より)

 ホームオートメーションシステムに使われている米Honeywellの「Tuxedo Touch Controller」に2件の脆弱性が発見され、同社がファームウェアの更新版をリリースして対処した。

 米カーネギーメロン大学のCERT/CCが7月24日に公開したセキュリティ情報によると、Tuxedo Touch Controllerには2件の脆弱性が見つかった。このうちクライアントサイド認証の利用に関する脆弱性は、悪用された場合、攻撃者が認証をかわして、制限されたページにアクセスできてしまう恐れがある。

 また、クロスサイトリクエストフォージェリ(CSRF)の脆弱性では、Tuxedo Touch Controllerで制御されているホームオートメーション装置に対して攻撃者がコマンドを出し、玄関の開錠や施錠などの操作を行うことが可能とされる。危険度は共通脆弱性評価システム(CVSS)の評価で「6.8」(最大値は10.0)となっている。

 Honeywellはファームウェアの更新版となる「TUXW_V5.2.19.0_VA」をリリースしてこの脆弱性を修正した。それ以前のバージョンは全て脆弱性の影響を受けるとして、ファームウェアを更新するよう強く勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ