Hikvision製のDVRに深刻な脆弱性、IoTデバイスは「90年代のOS状態」
HikvisionのDVRに脆弱性がみつかり、「モノのインターネット」製品に見つかる脆弱性は、90年代のOSやサーバの脆弱性を彷彿とさせると米SANS Internet Storm Center。
セキュリティ企業のRapid7は、監視カメラや入退室管理システムを手掛ける中国Hikvision製のデジタルビデオレコーダー(DVR)に、リモートからコードを実行されてしまう脆弱性が複数見つかったと伝えた。パッチはまだ公開されておらず、同社は脆弱性検査ツールMetasploitにこの脆弱性を突くモジュールを追加した。
Rapid7の11月19日のブログによると、Hikvisionの「DS-7204」などのモデルで、RTSPリクエストの処理コードにバッファオーバーフローの脆弱性が3件見つかった。悪用された場合、リモートの攻撃者にDVRを完全に制御される恐れがあるという。
Hikvisionの製品には今回の脆弱性のほかにも別の脆弱性が指摘されていたが、Rapid7はこの脆弱性もまだ修正されていないことを確認したとしている。さらに、同社製品のデフォルトの管理者アカウントに「admin」「12345」という安易なユーザー名とパスワードが使われている問題も以前から指摘されていた。
この問題についてRapid7は2014年9月にHikvisionに報告したが、まだ返答はないという。パッチが公開されるまでは、HikvisionのDVRなどの製品を無防備な状態でインターネットに接続しないようRapid7は呼び掛けている。
DVRのような「モノのインターネット」を巡っては、危険性を指摘する声も高まっている。米セキュリティ機関のSANS Internet Storm Centerは、「Hikvision DVRのような製品に見つかる脆弱性は、90年代のOSやサーバの脆弱性を彷彿とさせる」と指摘。Hikvisionの製品はさまざまなブランドでOEM製造されており、他のブランドも影響を受ける可能性があると警告した。
関連記事
- bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
日本や韓国の大学や研究機関で使われているNASを狙った標的型攻撃が確認された。 - 家電の遠隔操作機器に脆弱性、不正操作の恐れ
「Belkin WeMo」の脆弱性を悪用されれば、家電を攻撃者に遠隔操作されたり、悪質なファームウェアアップデートを仕込まれたりする恐れがあるという。 - 「モノのインターネット(IoT)」製品の70%にセキュリティ問題
HPが調査したテレビや家電コントロールなどのIoT製品は、平均すると1製品当たり25件のセキュリティ問題が存在していたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.