IPAセキュリティセンターおよびJPCERT/CCは8月7日、 JVN (Japan Vulnerability Notes) において「アイ・オー・データ機器製の複数のネットワークカメラ製品に複数の脆弱性」を公表した。

具体的には、「認可・権限・アクセス制御 - CVE-2018-0661」「データの信頼性についての不十分な検証 - CVE-2018-0662」「認証情報がハードコードされている問題 - CVE-2018-0663」という脆弱性が存在するという。

CVE-2018-0661が悪用されると、隣接ネットワーク圏内からアクセスできる第三者により特定のディレクトリにファイルを配置され、結果として OS コマンドや任意のコードを実行されるほか、認証情報を含む情報の漏洩や改竄が行われるおそれがある。

CVE-2018-0662が悪用されると、当該製品に物理的にアクセス可能な第三者により悪意のあるファイルを製品内に配置され、結果として任意のコードを実行されるおそれがある。

CVE-2018-0663を悪用されると、遠隔の第三者により任意の OS コマンドを実行されるおそれがある。

アイ・オー・データ機器は、「TS-WRLP」「TS-WRLP/E」「TS-WRLA」について、これら脆弱性を修正したファームウェアをリリースしているので、対象の製品を利用している場合はファームウェアの更新を迅速に行うことが望まれる。

  • アイ・オー・データ機器製ネットワークカメラ「TS-WRLP」