JVNDB-2017-002442
|
U818A WIFI に anonymous FTP でフルアクセス可能な脆弱性
|
|
U818A WIFI は、自身をアクセスポイントとして Wi-Fi 接続機能が実装されています。また、FTP サーバが動作しており、anonymous ユーザが当該ドローン内のファイルシステムにフルアクセス可能です。
U818A WIFI は、空中からの画像や動画の撮影に対応したクアッドコプター ドローンです。マニュアルに記載はありませんが U818A WIFI では FTP サーバが動作しており、ドローンに搭載されている Wi-Fi アクセスポイントを通じて FTP アクセスが可能です。
不適切なデフォルトパーミッション (CWE-276) - CVE-2017-3209
報告者によると、U818A WIFI では FTP サーバが稼働しており、初期設定ではパスワードを必要としない anonymous ユーザによるアクセスが可能となっています。また、当該ドローン内のファイルシステム全域に対して読み書き可能であるとのことです。
また、U818A WIFI は BusyBox 1.20.2 を使用しています。BusyBox 1.20.2 は 2012年にリリースされたバージョンで、既知の脆弱性が複数存在します。
|
|
CVSS v3 による深刻度
基本値: 8.1 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 7.8 (危険) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): なし
|
|
|
DBPOWER
|
|
|
当該ドローンの無線到達範囲内の第三者によって、ドローンが撮影した画像や動画を取得されたり、システムファイルを改ざんされたりする可能性があります。
|
|
2017年4月12日現在、対策方法は不明です。
|
|
DBPOWER
|
|
- 不適切なデフォルトパーミッション(CWE-276) [IPA評価]
|
|
- CVE-2017-3209
|
|
- JVN : JVNVU#91711014
- National Vulnerability Database (NVD) : CVE-2017-3209
- US-CERT Vulnerability Note : VU#334207
|
|
- [2017年04月13日]
掲載
- [2019年07月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3209) を追加
|
