公開日:2015/08/21 最終更新日:2015/08/21

JVNVU#97413676
Dedicated Micros のデジタルビデオレコーダが、平文で通信し、パスワード認証をしていない問題

概要

Dedicated Micros のデジタルビデオレコーダ製品は、デフォルト設定では、暗号化されていない平文で通信し、また、パスワードによるユーザ認証を行いません。

影響を受けるシステム

  • DV-IP Express
  • SD Advanced
  • SD
  • EcoSense
  • DS2

詳細情報

センシティブなデータを暗号化しない (CWE-311)
Dedicated Micros のデジタルビデオレコーダ製品は、デフォルト設定では、通信内容を暗号化しないプロトコルである HTTP、Telnet、FTP を用いており、よりセキュアなプロトコルを使用するよう設定するのはエンドユーザの責任としています。そのためデフォルト設定では、第三者によって通信が閲覧されたり改ざんされたりする可能性があります。

不適切なアクセス制御 (CWE-284) - CVE-2015-2909
Dedicated Micros のデジタルビデオレコーダ製品は、デフォルト設定ではユーザ認証を要求しません。エンドユーザはデバイスにパスワードを設定することができますが、必須ではありません。デフォルト設定では、第三者によって自由にデバイスにアクセスされたりデータを改ざんされたりする可能性があります。

想定される影響

遠隔の攻撃者によって、センシティブなデータを閲覧されたり操作されたりする可能性があります。また、セキュアな設定を行っていないデバイスは完全に制御を奪われる可能性があります。

対策方法

2015年8月21日現在、対策方法は不明です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • セキュアなプロトコルを使用する
    開発者は「ユーザが希望する場合、HTTPS や SSH を使用するよう設定したり、POST メソッドでのアップロードを HTTPS 経由にするよう設定したりすることが可能」としています。
    開発者が提供する情報をもとに、セキュアなプロトコルを使用するよう設定してください。
  • パスワードによるユーザ認証を有効にする
    開発者は次のように述べています。
    デフォルト設定のシステムでは、HTTP、Telnet、FTP でユーザ認証を行っていません。デフォルトのユーザ名やパスワードを設定しておくことは安全ではないので、Dedicated Micros では、ユーザ自身がそれらを設定するようアドバイスしています。GUI 上には、ユーザ名とパスワードの設定を促す警告文が表示されます。
    個々のデバイスのドキュメントや開発者が提供する情報をもとに、ユーザ認証を有効にしてください。
セキュアな設定をデフォルトにする
開発者は、エンドユーザに設定をまかせるのではなく、合理的にセキュアなシステムをデフォルト設定で提供すべきです。Shodan の結果によると、複数の Dedicated Micros のデバイスがユーザ認証なしにアクセス可能な状態でインターネット上に存在しています。製品のセキュリティ向上のために、次のような項目の実装を検討してください。
  • デフォルトでセキュアなプロトコルを使用する。または、外部との接続が設定されるときに、ユーザにセキュアなプロトコルを使用するよう促す。
  • ユニークなデフォルトパスワードを設定する。MAC アドレスから決定されるようなものであってもかまわない。
  • セットアップ作業のなかで、パスワードの変更をユーザに求める。

ベンダ情報

ベンダ リンク
Dedicated Micros Products Group

参考情報

  1. CERT/CC Vulnerability Note VU#276148
    Dedicated Micros DVR products use plaintext protocols and require no password by default
  2. Shodan
    command line processor -username
  3. reenignE
    Interesting Shodan searches: Dedicated Micros DVRs

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.08.21における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:10.0

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-2909
JVN iPedia