複数のネットワークカメラにコマンドインジェクションの脆弱性

6月26日(米国時間)、Threatpostに掲載された記事「Command Vulnerabilities Plague IP Enabled AirLive Cameras ｜Threatpost｜The first stop for security news」が、複数のネットワークカメラにコマンドインジェクションの脆弱性が存在すると伝えた。記事では脆弱性の存在する製品およびファームウェアのバージョンとして、以下を挙げている。

• AirLive BU-2015 ファームウェアバージョン 1.03.18 16.06.2014
• AirLive BU-3026 ファームウェアバージョン 1.43 21.08.2014
• AirLive MD-3025 ファームウェアバージョン 1.81 21.08.2014
• AirLive WL-2000CAM ファームウェアバージョン LM.1.6.18 14.10.2011
• AirLive POE-200CAM v2 ファームウェアバージョン LM.1.6.17.01

これらの製品では、認証をへることなくCGIの実行が可能になっていたり、仕込まれているバックドアアカウントによってネットワークカメラで任意のコマンドが実行できるようになっていたりするという。この脆弱性を発見したセキュリティ企業および研究者は該当プロダクトのメーカーに連絡を取ったが返事を得ることはできなかったとしている。