公開日:2022/08/31 最終更新日:2022/08/31

JVNVU#90766406
プラネックスコミュニケーションズ製ネットワークカメラにおける複数の脆弱性

概要

プラネックスコミュニケーションズ株式会社が提供する「スマカメ CS-QR10」および「スマカメ ナイトビジョン CS-QR20」には、複数の脆弱性が存在します。

影響を受けるシステム

  • スマカメ CS-QR10 すべてのバージョン
  • スマカメ ナイトビジョン CS-QR20 すべてのバージョン

詳細情報

プラネックスコミュニケーションズ株式会社が提供するネットワークカメラ製品「スマカメ CS-QR10」および「スマカメ ナイトビジョン CS-QR20」には、次の複数の脆弱性が存在します。

  • ハードウェアインターフェイスに対する保護機構の欠如 (CWE-1299) - CVE-2022-38399
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8
  • バックドアの問題 (CWE-912) - CVE-2017-12576
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者が当該製品の特定のインターフェースにシリアル接続することで、当該製品上で任意のOSコマンドを実行される - CVE-2022-38399
  • Web管理インターフェイスにログイン可能な攻撃者によって、当該製品上で任意のOSコマンドを実行される - CVE-2017-12576

対策方法

製品の使用を停止する、または安全性を配慮した環境で利用する
当該製品のサポートは終了しており、修正アップデートは提供されません。
開発者は対策として、製品の使用停止、または管理者パスワードを変更した上で安全性を配慮したローカルネットワーク環境での使用を推奨しています。

ベンダ情報

ベンダ リンク
プラネックスコミュニケーションズ株式会社 スマカメ CS-QR10
スマカメ ナイトビジョン CS-QR20

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Necrum Security Labs Thomas J. Knudsen 氏、Samy Younsi 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2022-38399
JVN iPedia