公開日:2024/06/14 最終更新日:2024/06/14

JVNVU#95147482
Motorola Solutions製Vigilant License Plate Readersにおける複数の脆弱性

概要

Motorola Solutionsが提供するVigilant License Plate Readersには、複数の脆弱性が存在します。

影響を受けるシステム

  • Vigilant Fixed LPR Coms Box(BCAV1F2-C600)3.1.171.9およびそれ以前のバージョン

詳細情報

Motorola Solutionsが提供するVigilant License Plate Readersには、次の複数の脆弱性が存在します。

  • 代替パスまたはチャネルを使用した認証回避(CWE-288)-CVE-2024-38279
  • ファイル内またはディスク上の平文保存(CWE-313)-CVE-2024-38280
  • ハードコードされた認証情報の使用(CWE-798)-CVE-2024-38281
  • 認証情報の不十分な保護(CWE-522)-CVE-2024-38282、CVE-2024-38285
  • 重要なデータに対する暗号化の欠如(CWE-311)-CVE-2024-38283
  • Capture-replayによる認証回避(CWE-294)-CVE-2024-38284

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 認証をバイパスされ、当該製品にアクセスされる(CVE-2024-38279)
  • 当該製品に保存されている認証情報を含む機微なデータを窃取される(CVE-2024-38280)
  • 認証情報を窃取され、メンテナンスコンソールにアクセスされる(CVE-2024-38281)
  • デフォルトの認証情報を利用してカメラのオペレーティングシステムにアクセスされ、意図しない操作をされたり、当該製品をシャットダウンされたりする(CVE-2024-38282)
  • 当該製品に保存されている機微な情報を窃取される(CVE-2024-38283)
  • 当該製品とバックエンドサービス間で記録された送信データを利用され、リプレイ攻撃を実行される(CVE-2024-38284)
  • 認証情報を保存するログをデコードされ、認証情報を窃取される(CVE-2024-38285)

対策方法

開発者によると、本脆弱性の影響を受けるすべてのシステムに対して、すでに修正が完了しており、ユーザが追加のアクションを行う必要はないとのことです。
なお、開発者は、各脆弱性に対するワークアラウンドを公開しています。

詳細は、ICS Advisoryを確認してください。

ベンダ情報

ベンダ リンク
Motorola Solutions Motorola Solutions

参考情報

  1. ICS Advisory | ICSA-24-165-19
    Motorola Solutions Vigilant License Plate Readers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia