JVNVU#99819594
Harman AMX 製品がハードコードされたパスワードを使用する問題

複数の Harman AMX 製品には、デバッグ用のアカウントがハードコードされている問題が存在します。

AMX NX-1200 ファームウェア v1.2.322 および v1.3.100 で本脆弱性が報告されています。

そのほかにも、本脆弱性の影響を受ける製品には次の製品群が含まれます。
ただし、影響を受ける製品はこれらに限られるものではありません。

• AMX DGX16-ENC (Digital Media Switchers)
• AMX DGX32-ENC-A (Digital Media Switchers)
• AMX DGX64-ENC (Digital Media Switchers)
• AMX DGX8-ENC (Digital Media Switchers)
• AMX DVX-2100HD (All-In-One Presentation Switchers)
• AMX DVX-2210HD (All-In-One Presentation Switchers)
• AMX DVX-2250HD (All-In-One Presentation Switchers)
• AMX DVX-2255HD (All-In-One Presentation Switchers)
• AMX DVX-3250HD (All-In-One Presentation Switchers)
• AMX DVX-3255HD (All-In-One Presentation Switchers)
• AMX DVX-3256HD (All-In-One Presentation Switchers)
• AMX ENOVADGX64-ENC (Digital Media Switchers)
• AMX MCP-106 (ControlPads)
• AMX MCP-108 (ControlPads)
• AMX NI-2000 (Central Controllers)
• AMX NI-2100 (Central Controllers)
• AMX NI-3000 (Central Controllers)
• AMX NI-3100 (Central Controllers)
• AMX NI-3101-SIG (Central Controllers)
• AMX NI-4000 (Central Controllers)
• AMX NI-4100 (Central Controllers)
• AMX NI-700 (Central Controllers)
• AMX NI-900 (Central Controllers)
• AMX NX-1200 (Central Controllers)
• AMX NX-2200 (Central Controllers)
• AMX NX-3200 (Central Controllers)
• AMX NX-4200 (Central Controllers)
• AMX NXC-ME260-64 (Central Controllers)
• AMX NXC-MPE (Central Controllers)
• AMX NetLinx NX Integrated Controller (Media)

認証情報がハードコードされている問題 (CWE-798) - CVE-2015-8362
発見者のブログ投稿によると、AMX シリーズの複数のモデルには、ハードコードされた管理権限アカウント ("バックドア") が存在します。さらに詳しい情報は、発見者の脆弱性アドバイザリをご確認ください。AMX のリリースノートには、これはデバッグ用アカウントであったと記載されています。

認証情報を知る攻撃者によって、当該機器に管理者権限でアクセスされる可能性があります。

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者はいくつかの製品に対してアップデートをリリースしています。
アップデートの入手に関するさらに詳しい情報は、開発者へお問い合わせください。