【活用ガイド】

[English]

JVNDB-2023-007150

ファースト製 DVR における複数の脆弱性

概要

株式会社ファーストが提供する DVR には、次の複数の脆弱性が存在します。

 * ハードコードされた認証情報の使用 (CWE-259) - CVE-2023-47213
 * 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-47674

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 情報通信研究機構 サイバーセキュリティ研究所 森好樹 氏
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2023-47674 の評価になります。


CVSS v3 による深刻度
基本値:8.1 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
※上記は、CVE-2023-47213 の評価になります。
影響を受けるシステム


株式会社ファースト
  • CFR-1004EA ファームウェア
  • CFR-1008EA ファームウェア
  • CFR-1016EA ファームウェア
  • CFR-16EAA ファームウェア
  • CFR-16EAB ファームウェア
  • CFR-16EHA ファームウェア
  • CFR-16EHD ファームウェア
  • CFR-4EAA ファームウェア
  • CFR-4EAAM ファームウェア
  • CFR-4EAB ファームウェア
  • CFR-4EABC ファームウェア
  • CFR-4EHA ファームウェア
  • CFR-4EHD ファームウェア
  • CFR-8EAA ファームウェア
  • CFR-8EAB ファームウェア
  • CFR-8EHA ファームウェア
  • CFR-8EHD ファームウェア
  • CFR-904E ファームウェア
  • CFR-908E ファームウェア
  • CFR-916E ファームウェア
  • MD-404AA ファームウェア
  • MD-404AB ファームウェア
  • MD-404HA ファームウェア
  • MD-404HD ファームウェア
  • MD-808AA ファームウェア
  • MD-808AB ファームウェア
  • MD-808HA ファームウェア
  • MD-808HD ファームウェア

想定される影響

遠隔の第三者によって、当該機器の設定情報を窃取されたり書き換えられたりする可能性があります。
対策

[アップデートする]
以下の製品については、対策版ファームウェアが提供されています。ファームウェアを最新版へアップデートしてください。

 * CFR-4EABC、CFR-4EAB、CFR-8EAB、CFR-16EAB、MD-404AB、MD-808AB:後期型モデル

[ワークアラウンドを実施する]
対策版ファームウェアが提供されない製品については、開発者の示すワークアラウンドを実施してください。

詳しくは開発者が提供する情報をご確認ください。
ベンダ情報

株式会社ファースト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. ハードコードされたパスワードの使用(CWE-259) [その他]
  2. 重要な機能に対する認証の欠如(CWE-306) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-47213
  2. CVE-2023-47674
参考情報

  1. JVN : JVNVU#99077347
  2. National Vulnerability Database (NVD) : CVE-2023-47213
  3. National Vulnerability Database (NVD) : CVE-2023-47674
  4. 関連文書 : NICTER Blog
更新履歴

  • [2023年11月17日]
      掲載
  • [2024年07月11日]
      参考情報:National Vulnerability Database (NVD) (CVE-2023-47213) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2023-47674) を追加