U.S. CISA adds GoVision device flaws to its Known Exploited Vulnerabilities catalog
2025/05/08 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、GeoVision の脆弱性 CVE-2024-6047 と CVE-2024-11120 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。いずれも、未認証の攻撃者に対して、コマンド・インジェクションを許す脆弱性である。
これらの脆弱性の説明は、以下の通りである:
CVE-2024-6047 (CVSS:9.8):GeoVisionデバイスにおける、OS コマンド・インジェクション脆弱性。EOL となっている複数の GeoVision デバイスには、特定の機能に対するユーザー入力が、適切にフィルタリングされないという問題が存在する。この絶弱性を悪用する未認証のリモート攻撃者は、デバイスに任意のシステム・コマンドを挿入/実行する可能性を手にする。
CVE-2024-11120 (CVSS:9.8):GeoVision デバイスにおける、OS コマンド・インジェクション脆弱性。この脆弱性を悪用する未認証のリモート攻撃者は、デバイスに任意のシステム・コマンドを挿入/実行する可能性を手にする。この脆弱性は、すでに悪用されている。
2024年11月の時点で、Shadowserver Foundation の研究者たちが発見したのは、GeoVision EOL デバイスのゼロデイ脆弱性 CVE-2024-11120 を悪用し、実環境のデバイスを侵害するボットネット攻撃である。GeoVision のゼロデイ脆弱性 CVE-2024-11120 (CVSS:9.8) は、Shadowserver Foundation により発見され、TWCERT の協力を得て検証された、認証前のコマンド・インジェクションの脆弱性である。この脆弱性が影響を及ぼす範囲は、GV-VS12/GV-VS11/GV-DSP_LPR_V3/GVLX 4 V2/GVLX 4 V3 などの EOL 製品である。
TWCERT が公開したアドバイザリには、「一部の EOL GeoVision デバイスには、OS コマンド・インジェクションの脆弱性が存在する。この脆弱性を悪用する未認証のリモート攻撃者は、デバイスに任意のシステムコマンドを挿入/実行する可能性を手にする。この脆弱性は、すでに攻撃者により悪用されており、関連報告も受けている。この攻撃で用いられたボットネットは、DDoS 攻撃や暗号通貨マイニングを目的としていた」と記されている。
その一方で、Shadowserver Foundation によると、ゼロデイ脆弱性 CVE-2024-11120 を抱える、インターネット接続型の GeoVision デバイスは 17,000台ほど存在するようだ。それらの脆弱なるデバイスの大半は米国 (8,720台) に設置されており、それに続くのが、ドイツ (1,518台)/台湾 (789台)/カナダ (761台) である。
拘束力のある運用指令 (BOD) 22-01:このカタログに記載された脆弱性をを悪用する攻撃から、FCEB 機関はネットワークを保護する必要がある。CISA は、連邦政府機関に対して、2025年5月28日までに、これらの脆弱性を修正するよう命じている。
さらに専門家たちが推奨するのは、民間組織にも KEV カタログを確認し、インフラの脆弱性に対処することである。
GeoVision の脆弱性 CVE-2024-6047/CVE-2024-11120 が、CISA KEV に登録されました。いずれの脆弱性も、対象品が EOL のため、パッチやアップデートは発行されないとのことです。ご利用のチームは、十分にご注意ください。なお、これらの脆弱性の詳細は、以下の記事で取り上げています。よろしければ、ご参照下さい。
2024/11/15:GeoVision の CVE-2024-11120:EoL を狙う攻撃
2024/06/17:GeoVision の CVE-2024-6047:EOL にリスク
IoT OT Security News 
You must be logged in to post a comment.