公開日:2024/09/18 最終更新日:2024/09/18

JVNVU#90142679
竹中エンジニアリング製デジタルビデオレコーダにおける複数の脆弱性

概要

竹中エンジニアリング株式会社が提供するデジタルビデオレコーダ製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • HDVR-400 46110.1.100869.65より前のバージョン
  • HDVR-800 53210.1.900103.65より前のバージョン
  • HDVR-1600 53310.1.900111.65より前のバージョン
  • AHD04T-A/AHD08T-A/AHD16T-A 7xx10.1.900055.65より前のバージョン
  • NVR04T-A/NVR08T-A 56x10.1.100540.65より前のバージョン
  • NVR16T-A 49310.1.100540.65より前のバージョン

詳細情報

竹中エンジニアリングが提供するデジタルビデオレコーダ製品には、次の複数の脆弱性が存在します。

  • 不適切な認証(推測可能な認証情報)(CWE-287
    • CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
    • CVE-2024-41929
  • OSコマンドインジェクション(CWE-78
    • CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
    • CVE-2024-43778
  • ドキュメント化されていないデバッグ機能を有効化される問題(CWE-912
    • CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
    • CVE-2024-47001

想定される影響

遠隔の第三者によって、当該製品上で任意のOSコマンドを実行されたり、機器の設定を変更されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
竹中エンジニアリング株式会社 【Tシリーズデジタルレコーダー】ファームウェアアップデートのお願い

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 情報通信研究機構 サイバーセキュリティ研究所 森 好樹 氏、丑丸逸人 氏、梅村 勇貴 氏、久保正樹 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2024-41929
CVE-2024-43778
CVE-2024-47001
JVN iPedia