ハッカーがIoT 接続のカメラの脆弱性を狙う CVE-2024-8956 (CVSS 9.1)、CVE-2024-8957 (CVSS 7.2)

セキュリティニュース

投稿日時: 更新日時:

ハッカーがIoT 接続のカメラの脆弱性を狙う CVE-2024-8956 (CVSS 9.1)、CVE-2024-8957 (CVSS 7.2)

GreyNoise は、IoT 接続のライブ ストリーミング カメラにこれまで公開されていなかったゼロデイ脆弱性(CVE-2024-8956 (CVSS 9.1)、CVE-2024-8957 (CVSS 7.2))を発見しました。

脆弱性の概要

GreyNoise は、AI を活用した脅威検出ツール Sift がハニーポット ネットワーク上で既知の脅威に一致しない異常なアクティビティを検出した後、CVE-2024-8956 と CVE-2024-8957 を発見しました。

GreyNoise はこれら 2 つの脆弱性を悪用すると、カメラの完全な乗っ取り、ボットによる感染、同じネットワークに接続された他のデバイスへの侵入、またはビデオ フィードの中断につながる可能性があると指摘しています。

脆弱性は、PTZOptics、Multicam Systems SAS カメラ、SMTAV Corporation デバイスのいくつかのモデルが含まれており、

PTZOptics((ピーティーズィー・オプティクス) )は 9 月 17 日にセキュリティ アップデートをリリースしましたが、同社のPT20X-NDI-G2 や PT12X-NDI-G2 などのモデルはサポート終了のためファームウェア アップデートが提供されていません。

脆弱性の影響を受ける製品とバージョン

PTZOptics (ピーティーズィー・オプティクス) 、Multicam Systems SAS、および SMTAV Corporation の Hisilicon Hi3516A V600 SoC V60、V61、および V63 ベースのデバイスで使用される VHD PTZ カメラ で、6.3.40未満のバージョンが脆弱性の対象になります。

脆弱性の詳細

  1. CVE-2024-8956 (CVSS 9.1) – 不十分な認証

    • 認証メカニズムの不備により、攻撃者がユーザー名やMD5パスワードハッシュ、設定データなどの機密情報にアクセスできる可能性があります。MD5ハッシュの弱さから、攻撃者はこれを悪用し管理者権限を得るリスクがあります。
  2. CVE-2024-8957 (CVSS 7.2) – OSコマンドインジェクション

    • CVE-2024-8956と組み合わせて利用されると、攻撃者は任意のOSコマンドを実行し、システムの完全な制御を奪取する可能性があります。