2021年9月19日(現地時間)、Hikvisionは、同社の複数のネットワークカメラ製品における脆弱性(CVE-2021-36260)に関するセキュリティアドバイザリを公開しました。入力検証の不備に起因するコマンドインジェクションの脆弱性で、脆弱性が悪用されると、遠隔の第三者が任意のコマンドを実行する可能性があります。
対策として、Hikvisionから本脆弱性を修正するファームウェアが公開されています。対象となる製品およびバージョンなどの詳細は、Hikvisionのアドバイザリの情報をご確認ください。
Hikvision
セキュリティ強化に関するお知らせ——一部のHikvision製品におけるコマンドインジェクションの脆弱性
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/security-notification-command-injection-vulnerability-in-some-hikvision-products/
Hikvision
重要な製品のファームウェア更新についてのお知らせ
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/important-product-firmware-update/
また、同日には脆弱性の発見者が、脆弱性の詳細を解説する記事を公開しており、認証不要で任意のコマンドを実行可能であると指摘しています。
脆弱性を悪用するには、影響を受ける製品にネットワーク経由で接続する必要がありますが、対象製品がインターネット経由で接続可能な状態である場合、容易に脆弱性を悪用する攻撃が行われる可能性があります。Hikvisionが公開している情報を確認し、対策を適用することを推奨します。
Hikvision
よくある質問:コマンド・インジェクションの脆弱性
https://www.hikvision.com/jp/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/faqs-command-injection-vulnerability/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp