【緊急速報】Digiever製NVRに深刻な脆弱性!リモートからコード実行の可能性が浮上、CISAが警告
アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Digiever製のネットワークビデオレコーダー(NVR)「DS-2105 Pro」に存在するセキュリティ上の欠陥を「既知の悪用された脆弱性(KEV)」カタログに追加しました。これは、この脆弱性がすでにサイバー攻撃者によって悪用されている証拠があることを意味します。
脆弱性の詳細:リモートからのコード実行を許す「コマンドインジェクション」
今回問題となっているのは、CVE-2023-52163(CVSSスコア:8.8)と呼ばれる脆弱性です。これは、認証済みのユーザーであれば、リモートから任意のコードを実行できる可能性のある「コマンドインジェクション」というタイプの攻撃を許してしまうものです。
具体的には、「time_tzsetup.cgi」というファイルを通じて、攻撃者が不正なコマンドを送り込むことができるとのこと。つまり、この脆弱性を突かれると、悪意のある第三者がNVRのシステムを乗っ取ってしまう危険性があるのです。
既に悪用、マルウェア拡散の温床に
このCVE-2023-52163は、AkamaiやFortinetといったセキュリティ企業からの報告によると、すでに攻撃者によって悪用されており、MiraiやShadowV2といったボットネットの配布に利用されていることが確認されています。これらのボットネットは、さらなるサイバー攻撃の踏み台として使われることが多いものです。
パッチ未提供、対策は?
残念ながら、この脆弱性については、デバイスがすでに「End-of-Life(EOL)」、つまりサポート終了となっているため、公式なパッチ(修正プログラム)は提供されていません。そのため、TXOne Researchのセキュリティ研究者であるTa-Lun Yen氏は、以下の対策を推奨しています。
- デバイスをインターネットに公開しないこと
- デフォルトのユーザー名とパスワードを変更すること
CISAは、連邦民間行政機関に対して、2025年1月12日までにこれらの対策を講じるか、製品の使用を中止するよう勧告しています。もしDigiever DS-2105 Proをお使いの方がいれば、早急な対応が必要です。
まとめ
今回のCISAによる警告は、IoTデバイスのセキュリティリスクを改めて浮き彫りにしました。EOLとなったデバイスは、たとえ機能が利用できても、セキュリティ上のリスクを抱え続けることになります。身近なネットワーク機器にも目を光らせ、常に最新のセキュリティ情報をチェックするようにしましょう。