HoneywellのCCTVシステムに深刻な認証バイパス脆弱性が発覚
HoneywellのCCTVシステムに認証バイパスの重大な脆弱性(CVE-2023-43505)が発見されました。CVSSスコア9.8で、不正アクセスやアカウント乗っ取りのリスクがあります。
Honeywell CCTVシステムにおける重大な認証バイパス脆弱性が発見される
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Honeywellのクローズド-circuitテレビジョン(CCTV)製品複数に影響を及ぼす重大な脆弱性について警告を発表しました。この脆弱性はCVE-2023-43505として識別され、攻撃者が認証メカニズムをバイパスし、不正アクセスやアカウントの乗っ取りを可能にする恐れがあります。このアドバイザリは、セキュリティ研究者による協調的な開示を受けて、2023年10月12日に公開されました。
CVE-2023-43505の技術的詳細
この脆弱性は、以下のHoneywell CCTVモデルに影響を及ぼします:
- Honeywell MAXPRO VMS(Video Management System)
- Honeywell MAXPRO NVR(Network Video Recorder)
- Honeywell HDZシリーズカメラ
CVE-2023-43505は、認証バイパスの脆弱性に分類され、**CVSSスコア9.8(Critical)**が付与されています。攻撃者は対象デバイスへのネットワークアクセスを必要とし、以下の行為が可能となります:
- ライブまたは録画された映像への不正アクセス
- 管理者権限を持つユーザーアカウントの乗っ取り
- カメラ設定の改ざんやセキュリティ監視の無効化
Honeywellは、この脆弱性がウェブベースの管理インターフェースにおける不適切な入力検証に起因し、攻撃者が認証チェックをバイパスする悪意のあるリクエストを作成できることを確認しています。
影響と悪用リスク
この脆弱性は、物理的セキュリティのためにHoneywell CCTVシステムに依存する組織、特に以下の重要インフラ分野に重大なリスクをもたらします:
- エネルギーおよびユーティリティ
- 交通機関
- 製造業
- 政府施設
悪用に成功した場合、以下のような影響が考えられます:
- 監視の妨害(例:侵入時にカメラを無効化)
- 機密エリアの不正監視
- 接続されたOT/ITネットワークへのラテラルムーブメント
アドバイザリ公開時点で、野放しでの悪用報告はありませんが、脆弱性の深刻さを考慮し、セキュリティ専門家は近いうちにPoC(概念実証)エクスプロイトが出現する可能性を警告しています。
緩和策と推奨事項
Honeywellは、CVE-2023-43505に対処するためのセキュリティパッチをリリースしています。組織は以下の対策を直ちに実施することが推奨されます:
- 影響を受けるシステムに速やかにアップデートを適用する:
- MAXPRO VMS: バージョン5.7.0以降に更新
- MAXPRO NVR: バージョン5.7.0以降に更新
- HDZシリーズカメラ: ファームウェアバージョン4.10.0以降を適用
- CCTVネットワークを企業のIT環境から分離し、露出を制限する。
- 不正なログイン試行や設定変更などの不審な活動を監視する。
- CCTV管理インターフェースへのアクセスをファイアウォールやVPNを通じて制限する。
CISAは、CVE-2023-43505をKnown Exploited Vulnerabilities Catalogに追加し、対策の緊急性を強調しています。連邦政府機関は、Binding Operational Directive(BOD)22-01に基づき、2023年11月2日までに影響を受けるシステムのパッチ適用が義務付けられています。
詳細については、Honeywellの公式セキュリティアドバイザリまたはCISAのアラート(ICSA-23-285-01)を参照してください。