FC2ブログ

記事一覧

JVNVU#90624081 HiSilicon 社製 hi3520d を利用したビデオエンコーダー製品に複数の脆弱性

信頼したくない品質

この脆弱性は、エンジニアの意識が低いことが原因。まさしく人災だと思いますよ。
どれもこれも、業界ではつぶすべき脆弱性の数々・・・・
しかも、こういう製品のコアとして売り出すだと、ファームウェアの更新に対応していない製品なんかもあったりするので、売り出す側も意識高くないと、2次3次被害につながりそうですね。


こいつを使っている製品

  • 監視カメラ用ビデオレコーダー
  • ドライブレコーダー
など

HiSilicon 社製 hi3520d 

 という名前が、説明書などに記載があったら該当です。

特にひどい脆弱性


脆弱性解説
ハードコードされたパスワードで管理者用 Web インターフェースにアクセスできる - CVE-2020-24215プログラムに固定のパスワードがあるので、ある製品でパスワードが看破されると、同じチップを使っている他の製品でも同じパスワードでの攻撃ができちゃいます
Telnet からの root アクセス - CVE-2020-24218ネットワークを通じて完全な管理者権限でログインできるので、遠隔地から誰かもわからないひとが、なんでもできてしまう恐れがあります。もちろんログを消去することも可能。
パストラバーサルによる任意のファイル閲覧 - CVE-2020-24219閲覧が許可されていないファイルをログインせずにじゃんじゃん見れちゃう
認証されていないファイルのアップロード - CVE-2020-24217知らないうちに容量がいっぱいに・・・使い物にならない状態にできます
バッファオーバーフロー - CVE-2020-24214動作を停止させられたり、この不具合からさらに管理者権限を奪ったりする攻撃手法がありますね。
 これが危ないと言われて久しい脆弱性ばかりです。 Windows98 のインターネット流行初期のレベルですね。 
 セキュリティ意識が全くないと言っていいですね。 この製品を外部からアクセスできる環境においてはいけません。 
 この製品から別のコンピュータへの侵入なんてのもできそうです。

危ないのはPCやスマホだけじゃない

 最近のネットに接続できる製品には、だいたいが linux OS が利用されているので、こういう脆弱性が出ると、こいつを踏み台にして内部のネットワークに侵入する手法が横行します。
 ネットワークのセキュアな構築はとっても大切ですね。

セキュリティの相談乗りますよ

安全確保支援士を保有するフリーランスエンジニアとして、クライアントに寄り添って適切なコスパでご相談に乗りますよ。
自社の安価な製品群のセキュリティについて、一度考えてみてはいかがでしょうか?
スポンサーサイト



コメント

コメントの投稿

非公開コメント