Digigram PYKO-OUT AoIP Devices Exposed to Attacks Due to Missing Default Password
2025/05/06 SecurityOnline — Digigram の PYKO-OUT audio-over-IP (AoIP) 製品にセキュリティ上の脆弱性が発見され、BGM やライブ・アナウンスなどのアプリケーションでの使用に懸念が生じている。この脆弱性 CVE-2025-3927 は、ログイン情報やパスワードを必要としないデバイスの、デフォルト・コンフィグレーションに起因するものだ。
最近の CERT/CC の報告によると、PYKO-OUT AoIP の Web サーバ (デフォルト IP アドレス:192.168.0.100) には、認証/承認のメカニズムが欠如しているという。この明白なセキュリティ上の欠陥は、デバイスの脆弱な IP アドレスを発見した攻撃者が、認証や承認なしにデバイスに接続して操作できることを意味する。
脆弱なデバイスへのアクセスに成功した攻撃者は、そのコンフィグにアクセスし、オーディオの出力/入力を制御し、他の接続デバイスに侵入することも可能にする。この不正アクセスは、音声放送の妨害/悪意の音声の挿入に加えて、侵害したデバイスを踏み台にして、ネットワーク上の他のデバイスや接続された USB ドライブへの攻撃に悪用される可能性もある。
Digigram は、この脆弱性を認識しているが、PYKO-OUT 製品はサポート終了 (EOL) であるため、デフォルト・コンフィグ修正するためのパッチは提供されないと述べている。脆弱性に関する注意書きでは、デバイスのセキュリティを確保するために、Web サーバの UI 内でパスワード設定を手動で変更することがユーザーに推奨されている。この回避策により問題は軽減されるが、セキュリティ対策の負担を、ユーザーに負わせることになる。また、「Digigram では、現時点で、この製品を販売していない」という注意点にも留意してほしい。
この脆弱性が浮き彫りにするのは、安全なデフォルト・コンフィグの重要性である。Digigram PYKO-OUT AoIP デバイスには、デフォルト・パスワードが設定されていないため、重大なセキュリティ・リスクが生じている。ユーザーにとって不可欠なことは、デバイスのセキュリティを確保するための対策を、直ちに講じることである。
Digigram の PYKO-OUT AoIP 製品に、デフォルト設定に起因する脆弱性 CVE-2025-3927 が発見されましたが、EOL のためパッチは提供されないとのことです。該当の製品をご利用のチームは、文中の回避策の導入を、ご検討ください。よろしければ、カテゴリ MisConfiguration も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.