CVE-2024-43360: SQLi Flaw Discovered in Popular Surveillance Software ZoneMinder
2024/08/15 SecurityOnline — オープンソースのビデオ監視ソリューションとして広く利用されている ZoneMinder に、SQL インジェクションの脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセスを達成し、影響を受けるシステムの制御を奪う機会を得るという。
脆弱性 CVE-2024-43360
この脆弱性 CVE-2024-43360 (CVSS:9.8) は、ZoneMinder バージョン 1.36.33/1.37.43 以下に影響を及ぼすものであり、”/zm/index.php” エンドポイントにおける “sort”/”mid” パラメータの入力に関する、不適切なサニタイズに起因する。
http://host:port/zm/index.php?sort=**if(now()=sysdate()%2Csleep(6)%2C0)**&order=desc&limit=20&view=request&request=watch&mid=1
http://host:port/zm/index.php?limit=20&mid=-1%20OR%203*2*1=6%20AND%20000322=000322&order=desc&request=watch&sort=Id&view=request
この脆弱性の悪用に成功した攻撃者は、悪意の SQL クエリを実行できる。その結果として、以下のような被害が生じる可能性がある:
- データの盗難: ビデオ映像/ユーザー認証情報/システム設定などの機密情報に対する不正アクセス
- データ操作: データの変更/削除および、再生の否認につながる可能性
- システムの侵害:感染した ZoneMinder システムの完全な乗っ取りが生じる、攻撃者による任意のコード実行にいたる恐れがある。
影響を受けるバージョンとパッチ
- 影響を受けるバージョン:ZoneMinder 1.36.34/1.37.43 未満
- パッチのバージョン:ZoneMinder 1.36.34
推奨事項
すべての ZoneMinder ユーザーにとって必要なことは、最新のパッチ・バージョンへと、直ちに更新することである。
さらに、ユーザーは、以下のことを行う必要がある:
- 専門家の支援を検討する: ZoneMinder インストールの更新やセキュリティ保護が不明な場合は、資格を持つセキュリティの専門家に助けを求めてほしい。
- システムを監視する: 不審な動きについて、システム・ログを注意深く監視する。
- セキュリティ設定を見直す: 強力なパスワードとアクセス制御を使用して、ZoneMinder が適切に設定されていることを確認してほしい。
ビデオ監視ソリューションである ZoneMinder に、深刻な脆弱性とのことです。すでにパッチが提供されていますので、ご利用のチームは、ご対応ください。よろしければ、Camera で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.