JVNDB-2017-003933
|
ACTi 製の複数のカメラ製品に脆弱性
|
|
報告者によると、ACTi が提供するカメラ製品のうち、ファームウェア バージョン A1D-500-V6.11.31-AC を使用している複数のシリーズに問題が存在するとのことです。
重要な機能に対する認証欠如の問題 (CWE-306) - CVE-2017-3184
これらの製品は、設定の初期化機能に対する適切なアクセス制限が行われていません。遠隔の第三者が http://x.x.x.x/setup/setup_maintain_firmware-default.html のような URL に直接アクセスすることで、製品の設定を初期化することが可能です。これにより当該機器に対するサービス運用妨害 (DoS) を引き起こしたり、脆弱なデフォルトパスワードの問題 (CVE-2017-3186) を使用したりすることが可能です。
GET リクエストに含まれるクエリ文字列による情報漏えい (CWE-598) - CVE-2017-3185
これらの製品のウェブインタフェースでは、ユーザ名やパスワードなど機微な情報を含む GET リクエストを使用します。そのため、ブラウザ履歴やリファラ、通信ログなど様々な履歴からこれらの機微な情報を取得することが可能です。
脆弱なデフォルトパスワード (CWE-521) - CVE-2017-3186
これらの製品の初期設定では、すべての機器で同一の認証情報を使用しています。初期設定のままで使用している場合、遠隔の第三者は管理者の認証情報でログインし、機器を完全に制御することが可能です。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
ACTi Corporation
- ACTi 製カメラファームウェア バージョン A1D-500-V6.11.31-AC を使用している D、B、I、E シリーズ
|
その他のシリーズ製品も本脆弱性の影響を受ける可能性があります。
|
|
遠隔の第三者によって、機器を工場出荷状態に初期化されたり、ユーザ名やパスワードなどの機微な情報を取得されたり、初期状態の認証情報を使用して当該機器に管理者としてログインされたりする可能性があります。
|
|
2017年3月8日現在、対策方法は不明です。
|
|
ACTi Corporation
|
|
- 重要な機能に対する認証の欠如(CWE-306) [IPA評価]
- 脆弱なパスワードの要求(CWE-521) [IPA評価]
- GET リクエストにおけるクエリ文字列からの情報漏えい(CWE-598) [IPA評価]
|
|
- CVE-2017-3184
- CVE-2017-3185
- CVE-2017-3186
|
|
- JVN : JVNVU#92233464
- National Vulnerability Database (NVD) : CVE-2017-3184
- National Vulnerability Database (NVD) : CVE-2017-3185
- National Vulnerability Database (NVD) : CVE-2017-3186
- US-CERT Vulnerability Note : VU#355151
|
|
- [2017年06月12日]
掲載
- [2018年03月14日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3184) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2017-3185) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2017-3186) を追加
|
