公開日:2023/11/16 最終更新日:2023/11/16

JVNVU#99077347
ファースト製DVRにおける複数の脆弱性

概要

株式会社ファーストが提供するDigital Video Recorder(DVR)には、複数の脆弱性が存在します。

影響を受けるシステム

  • CFR-904E、CFR-908E、CFR-916E
  • CFR-4EHD、CFR-8EHD、CFR-16EHD
  • CFR-4EHA、CFR-8EHA、CFR-16EHA
  • CFR-4EAAM、CFR-4EABC
  • CFR-4EAA、CFR-8EAA、CFR-16EAA
  • CFR-4EAB、CFR-8EAB、CFR-16EAB
  • CFR-1004EA、CFR-1008EA、CFR-1016EA
  • MD-404HD、MD-808HD
  • MD-404HA、MD-808HA
  • MD-404AA、MD-808AA
  • MD-404AB、MD-808AB

詳細情報

株式会社ファーストが提供するDVRには、次の複数の脆弱性が存在します。

  • ハードコードされた認証情報の使用 (CWE-259) - CVE-2023-47213
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1
  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-47674
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8

想定される影響

遠隔の第三者によって、当該機器の設定情報を窃取されたり書き換えられたりする可能性があります。

対策方法

アップデートする
以下の製品については、対策版ファームウェアが提供されています。ファームウェアを最新版へアップデートしてください。

  • CFR-4EABC、CFR-4EAB、CFR-8EAB、CFR-16EAB、MD-404AB、MD-808AB:後期型モデル
ワークアラウンドを実施する
対策版ファームウェアが提供されない製品については、開発者の示すワークアラウンドを実施してください。

詳しくは開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
株式会社ファースト 弊社DVRをサイバー攻撃の踏み台として利用される事案につきまして
弊社製 DVR における通信障害につきまして(PDF)

参考情報

  1. NICTER Blog
    NICTER観測統計 - 2022年1月~3月 / 日本国内の Mirai 感染ホスト数の急増について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 情報通信研究機構 サイバーセキュリティ研究所 森好樹 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2023-47213
CVE-2023-47674
JVN iPedia