米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月1日(米国時間)、「AVTECH IP Camera|CISA」において、AVTECH SECURITYのIPカメラに脆弱性が存在すると伝えた。この脆弱性を悪用されると、認証していないリモートの攻撃者に実行中プロセスの所有者としてコマンドを挿入して実行される可能性がある。
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-7029 - コマンドインジェクションの脆弱性
脆弱性が存在する製品
脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。
- AVM1203 FullImg-1023-1007-1011-1009およびこれ以前のファームウェアバージョン
影響と対策
CISAによると脆弱性のエクスプロイトはすでに公開されており、容易に悪用可能とされる。また、ベンダーは修正パッチおよび軽減策を公開しておらず、CISAの協力要請にも応じていないという。
そのため、CISAは被害を軽減する次の緩和策を公開し、実施を推奨している。
- インターネットから当該製品にアクセスできないようにする
- 当該製品および制御システムをファイアウォールの背後に配置し、ビジネスネットワークから分離する
- 当該製品へのリモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN: Virtual Private Network)経由でのアクセスを検討する。ただし、仮想VPNは侵害される可能性があるため、必要に応じて追加の対策を講じる
CISAはAVTECH SECURITYが製造した他のIPカメラおよびネットワークビデオレコーダー(NVR: Network Video Recorder)にも、同様の脆弱性が存在する可能性があると指摘している。脆弱性の影響を受ける可能性のある製品を運用している管理者には、影響の有無をベンダーに問い合わせて適切な防衛策を講じることが望まれている。