JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月27日(日本時間)、「JVNVU#96392481: Annke製Network Video Recorderにおけるスタックベースのバッファオーバーフローの脆弱性」において、Annke社が提供しているNetwork Video Recorderの「N48PBB」に脆弱性が報告され、同社が修正バージョンをリリースしたと伝えた。この脆弱性を悪用されると、リモートの攻撃者によって対象のデバイス上でroot権限で任意のコードを実行される可能性があるという。

該当する脆弱性の影響を受ける製品およびバージョンは次のとおり。

  • N48PBB V3.4.106 build 200422およびそれ以前のバージョン

この脆弱性はスタックベースのバッファオーバーフローに起因するもので、認証されていない第三者によるリモートからの攻撃が可能なことから、早急な対応が推奨される。Annke社がリリースした最新バージョンにアップデートすることで影響を回避することができるという。

この脆弱性に対して、米国土安全保障省サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)でも次のセキュリティアドバイザリを公開し注意を促している。

  • ICS Advisory (ICSA-21-238-02): Annke Network Video Recorder

    ICS Advisory (ICSA-21-238-02): Annke Network Video Recorder

脆弱性の深刻度を表すCVSS v3のベーススコアは9.4で、5段階中もっとも高い「緊急」に分類されている。