JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月27日、「JVNVU#91077448: シャープNECディスプレイソリューションズ製プロジェクターにおけるSNMPが有効になっている問題」において、シャープNECディスプレイソリューションズの複数のプロジェクターに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、製品情報を窃取されたり、サービス運用妨害(DoS: Denial of Service)を引き起こされたりする可能性がある。
-
JVNVU#91077448: シャープNECディスプレイソリューションズ製プロジェクターにおけるSNMPが有効になっている問題
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-7011 - 文書化されていない機能の脆弱性。攻撃者はデフォルトで有効の簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)に、コミュニティー名「public」にてアクセスできる
脆弱性が存在する製品
脆弱性が存在する製品は次のとおり。影響を受けるファームウェアバージョンは公開されていない。
- NP-P525ULJL
- NP-P525WLJL
- NP-P605ULJL
- NP-MC332WJL
- NP-ME372WJL
- NP-ME382UJL
- NP-ME402XJL
- NP-P554UJL
- NP-P547ULJL
- NP-P627ULJL
- NP-PV730UL-BJL
- NP-PV730UL-WJL
- NP-PV800UL-BJL
- NP-PV800UL-WJL
- NP-MC393WJL
- NP-MC453XJL
- NP-ME403UJL
- NP-ME423WJL
- NP-PE456USLJL
- NP-PE506ULJL
- NP-PE506WLJL
これら製品一覧は国内向け製品のみだが、海外向け製品にも脆弱性は影響している。影響を受ける海外向け製品の一覧は「Vulnerabilities in projectors | Sharp NEC Display Solutions」から確認することができる。
対象の脆弱性はデフォルトで簡易ネットワーク管理プロトコル(SNMP)を有効化していることに原因がある。しかしながら、管理画面から機能を無効にすることはできず、修正するにはファームウェアをアップデートする必要がある。
シャープNECディスプレイソリューションズは当該製品の管理者に対してカスタマーサポートセンターに問い合わせの上、ファームウェアアップデートを実施するように推奨している。ファームウェアアップデートが困難な場合には、当該製品をインターネットから切り離して運用することを推奨している。
