公開日:2017/07/11 最終更新日:2017/07/20

JVNVU#98841854
Dahua 製ネットワークカメラに複数の脆弱性

概要

Dahua 社のネットカメラ製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • Dahua 製ネットワークカメラ

詳細情報

Dahua 社が提供するネットワークカメラ製品には複数の脆弱性が存在します。

  • パスワードハッシュのみによる認証 (CWE-836) - CVE-2017-7927
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 設定ファイルにパスワードが直接記載されている (CWE-260) - CVE-2017-7925
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8

想定される影響

当該製品にアクセス可能な第三者により、管理者権限で任意の操作が行われる可能性があります。

対策方法

ファームウェアをアップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2017/07/20
株式会社ハンモック 該当製品無し 2017/07/12
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/07/18

参考情報

  1. ICS-CERT Advisory ICSA-17-124-02
    Dahua Technology Co., Ltd Digital Video Recorders and IP Cameras
  2. GitHub mcw0 / PoC
    dahua-backdoor-PoC.py
  3. GitHub mcw0 / PoC
    dahua-backdoor.txt

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-7925
CVE-2017-7927
JVN iPedia JVNDB-2017-003971
JVNDB-2017-003972

更新履歴

2017/07/12
株式会社ハンモックのベンダステータスが更新されました
2017/07/12
株式会社ハンモックのベンダステータスが更新されました
2017/07/19
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2017/07/20
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました