公開日:2017/07/11 最終更新日:2017/07/20

JVNVU#92379282
Hikvision 製ネットワークカメラに複数の脆弱性

概要

Hikvision 社のネットワークカメラ製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • Hikvision 製ネットワークカメラ

詳細情報

Hikvision 社が提供するネットワークカメラ製品には複数の脆弱性が存在します。

  • 認証不備 (CWE-287) - CVE-2017-7921
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
  • 設定ファイルにパスワードが直接記載されている (CWE-260) - CVE-2017-7923
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8

想定される影響

当該製品にアクセスできる第三者により、管理者権限で任意の操作が行われる可能性があります。

対策方法

ファームウェアをアップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2017/07/20
株式会社ハンモック 該当製品無し 2017/07/12
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/07/18
ベンダ リンク
Hikvision HSRC-201703-04: Security Notification: Privilege-Escalating Vulnerability in Certain Hikvision IP Cameras
Privilege-Escalating Vulnerability Notice

参考情報

  1. ICS-CERT Advisory: ICSA-17-124-01
    Hikvision Cameras
  2. IP Cam Talk
    Backdoor found in Hikvision cameras

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-7921
CVE-2017-7923
JVN iPedia JVNDB-2017-003961
JVNDB-2017-003962

更新履歴

2017/07/12
株式会社ハンモックのベンダステータスが更新されました
2017/07/12
株式会社ハンモックのベンダステータスが更新されました
2017/07/18
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2017/07/20
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました