【活用ガイド】

[English]

JVNDB-2024-000116

Hikvision製ネットワークカメラにおけるダイナミックDNS認証情報の平文送信防止のセキュリティ機能強化

概要

Hangzhou Hikvision Digital Technology Co., Ltd.が提供する複数のネットワークカメラは、DDNS機能としてDynDNSおよびNO-IPをサポートしています。DDNSを有効にする場合、当該製品のユーザーはGUI設定ページでどちらかを選択できます。
DynDNS、NO-IP共にHTTPとHTTPS接続をサポートしていますが、当該製品はHTTP接続を利用しているため認証情報を平文で送信する可能性があります。
今回、HTTPS接続に変更するセキュリティ機能強化が実施されました。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Hangzhou Hikvision Digital Technology Co., Ltd.
  • DS-2CD1xxxG0 V5.7.23 build241008より前のバージョン
  • DS-2CD1xxxG2 V5.8.4 build240613より前のバージョン
  • DS-2CD29xxG0 V5.7.21 build240814より前のバージョン
  • DS-2CD2xx1G0 V5.7.23 build241008より前のバージョン
  • DS-2CD2xxxFWD V5.6.821 build240409より前のバージョン
  • DS-2CD2xxxG2 V5.7.18 build240826より前のバージョン
  • DS-2CD3xx1G0 V5.7.23 build241008より前のバージョン
  • DS-2CD3xx1G2 V5.8.4 build240613より前のバージョン
  • DS-2CD3xxxG2 V5.7.18 build240826より前のバージョン
  • HWI-xxxxHA V5.8.4 build240613より前のバージョン
  • IPC-xxxxH V5.7.23 build241008より前のバージョン
  • IPC-xxxxHA V5.8.4 build240613より前のバージョン

想定される影響

中間者攻撃(man-in-the-middle attack)を受けた場合、DDNS利用者の認証情報を取得されたり、通信内容を改ざんされたりする可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
ベンダ情報

Hangzhou Hikvision Digital Technology Co., Ltd.
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#11779839
更新履歴

  • [2024年10月30日]
     掲載