JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月8日、「JVNVU#97701389: Exacq Technologies製exacqVisionに複数の脆弱性」において、Exacq Technologies社が提供している監視カメラシステムの「exacqVision」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの認証情報にアクセスされたり、サービス運用妨害(DoS)状態に陥らされたりする危険性がある。

今回報告されている脆弱性は次の2件。

  • CVE-2021-27664: exacqVision Web Serviceの不適切な権限管理が原因で、遠隔の第三者からexacqVisionサーバ内に保存されている認証情報にアクセスされる
  • CVE-2021-27665: exacqVision Serverにおける整数オーバーフローの不具合によって、遠隔の第三者からサービス運用妨害(DoS)状態にされる

CVE-2021-27664は、exacqVision Web Serviceの21.06.11.0以前のバージョンが影響を受ける。CVE-2021-27665は、exacqVision Server 32-bitの21.06.11.0以前のバージョンが影響を受ける。いずれも脆弱性を修正した最新版がリリースされている。

また、それぞれの脆弱性について、Exacq Technologiesの親会社であるJohnson Controlsが次のセキュリティアドバイザリ(PDF文書)を公開している。

脆弱性の深刻度を表すCSSS v3のスコアは、CVE-2021-27664が「9.8」で深刻度「Critical(緊急)」、CVE-2021-27665が「7.5」で「Important(重要)」となっており、早急にアップデートを適用することが推奨されている。

  • Product Security Advisories: JCI-PSA-2021-16

    Product Security Advisories: JCI-PSA-2021-16

  • Product Security Advisories: JCI-PSA-2021-18

    Product Security Advisories: JCI-PSA-2021-18