CVE-2024-39349 (CVSS 9.8): Critical Vulnerability in Synology Surveillance Cameras
2024/07/07 SecurityOnline — 先日に、NAS/監視ソリューションの大手プロバイダーである Synology は、BC500/TC500 カメラモデルにおける6件の脆弱性のセキュリティ・アドバイザリを更新した。これらの脆弱性は、PWN2OWN 2023 hacking competition で報告されたものだ。深刻度は Critical (重大) から Moderate (中程度) まであり、悪用に成功したリモートの攻撃者に、コードの実行/セキュリティ制限の回避/機密情報の窃取などを許す可能性がある。
- CVE-2024-39349 (CVSS 9.8):libjansson コンポーネントのバッファ・オーバーフローの脆弱性。リモートの攻撃者により、特定できないベクターを経由して任意のコードが実行される可能性が生じる。
- CVE-2023-47802 (CVSS 7.2):IP ブロック機能における、OS コマンド・インジェクションの脆弱性。リモートの管理者権限で認証された攻撃者が、任意のコマンドを実行する可能性を得る。
- CVE-2024-39350 (CVSS 7.5): RTSP 機能における、成りすましによる認証バイパスの脆弱性。悪用に成功した脅威アクターは、攻撃者は中間者攻撃を実行し、同意なしに権限を獲得することが可能になる。
- CVE-2024-39351 (CVSS 7.2):NTP 設定における OS コマンド・インジェクションの脆弱性。リモートの管理者権限で認証された攻撃者が、任意のコマンドを実行する可能性を手にする。
- CVE-2023-47803 (CVSS 5.3):言語設定機能における、パス・トラバーサルの脆弱性。制限されたディレクトリへのパス名の不適切な制限により、リモートの攻撃者が、機密情報以外の情報を取り込んだ、特定のファイルを読み取る可能性が生じる。
- CVE-2024-39352 (CVSS 4.9): ファームウェア・アップグレード機能における、不正な認証の脆弱性。管理者権限を持つ認証済みのリモート攻撃者が、ファームウェアの整合性チェックをバイパスする可能性を手にする。
すでに Synology は、これらの脆弱性に対して、ファームウェア・バージョン 1.0.7-0298 以降で対処している。影響を受けるカメラモデルの、すべてのユーザーに強く推奨されるのは、直ちにファームウェアをアップデートして、監視システムを潜在的な危険から守ることだ。詳細およびサポートについては、Synology のセキュリティ・アドバイザリに詳述されている。
Synology と聞くと NAS/Router を思い浮かべてしまいますが、監視カメラも提供しているのですね。このブログで、Synology の監視カメラの記事を掲載するのは、おそらく初めてのことだと思います。ご利用のチームは、ご注意ください。よろしければ、Synology で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.