Ezvizのインターネット カメラで重大な脆弱性(CVE-2024-42531)
2024年8月26日 Ezviz(イージービズ)のインターネットカメラ CS-CV246で重大な脆弱性(CVE-2024-42531)が発生しています。2024年8月27日時点でパッチなどは提供されていません。
脆弱性 CVE-2024-42531 の内容
この脆弱性はEzviz(イージービズ)のインターネットカメラCS-CV246 (B0-1C1WFR)、シリアルナンバー: D15655150、バージョン: V5.3.0 build 191225で発生しており、
攻撃者は、特別に作成されたURLを使用してこのプロトコルを悪用することで、カメラのセキュリティコントロールを回避し、ライブ映像を視聴することが可能になります。
これにより、室内や屋外など特定クローズな場所で、このインターネットカメラを利用している場合、無許可で映像を閲覧可能になるので、重大なプライバシー侵害が発生します。
現在2024年8月27日時点でパッチなどは提供されていません。
脆弱性のPOCもGitHubへ公開されている為、悪用の危険性があります。
現在できる対策
メーカーから情報が公開されていませんので、現在できる対策は以下です。
・接続元のIPのみからのみ接続を許可する
・UTMやファイヤーウォールを設定する
・代替えモデルを検討する
引用
関連記事