公開日:2024/10/30 最終更新日:2024/10/30

JVN#11779839
Hikvision製ネットワークカメラにおけるダイナミックDNS認証情報の平文送信防止のセキュリティ機能強化

概要

Hangzhou Hikvision Digital Technology Co., Ltd.が提供する複数のネットワークカメラに、ダイナミックDNS(DDNS)サービス利用時の認証情報の平文送信を防止するセキュリティ機能強化が実施されました。

影響を受けるシステム

  • DS-2CD1xxxG0 V5.7.23 build241008より前のバージョン
  • DS-2CD2xx1G0 V5.7.23 build241008より前のバージョン
  • DS-2CD3xx1G0 V5.7.23 build241008より前のバージョン
  • IPC-xxxxH V5.7.23 build241008より前のバージョン
  • DS-2CD29xxG0 V5.7.21 build240814より前のバージョン
  • DS-2CD1xxxG2 V5.8.4 build240613より前のバージョン
  • DS-2CD3xx1G2 V5.8.4 build240613より前のバージョン
  • HWI-xxxxHA V5.8.4 build240613より前のバージョン
  • IPC-xxxxHA V5.8.4 build240613より前のバージョン
  • DS-2CD2xxxG2 V5.7.18 build240826より前のバージョン
  • DS-2CD3xxxG2 V5.7.18 build240826より前のバージョン
  • DS-2CD2xxxFWD V5.6.821 build240409より前のバージョン

詳細情報

Hangzhou Hikvision Digital Technology Co., Ltd.が提供する複数のネットワークカメラは、DDNS機能としてDynDNSおよびNO-IPをサポートしています。DDNSを有効にする場合、当該製品のユーザーはGUI設定ページでどちらかを選択できます。
DynDNS、NO-IP共にHTTPとHTTPS接続をサポートしていますが、当該製品はHTTP接続を利用しているため認証情報を平文で送信する可能性があります。
今回、HTTPS接続に変更するセキュリティ機能強化が実施されました。

想定される影響

中間者攻撃(man-in-the-middle attack)を受けた場合、DDNS利用者の認証情報を取得されたり、通信内容を改ざんされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
Hangzhou Hikvision Digital Technology Co., Ltd. ネットワークカメラ - ネットワーク製品

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2024-000116