よくある質問:コマンド・インジェクションの脆弱性
Q: コマンド・インジェクションの脆弱性とは?
A: Hikvisionの公式HSRC-202109-01セキュリティ通知に記載されている通り、一部のHikvision製品のWebサーバーにコマンド・インジェクションの脆弱性が発見されました。入力検証が不十分なため、攻撃者はこの脆弱性を利用して、悪意のあるコマンドを含む特別に作成したメッセージを送信することにより、コマンド・インジェクション攻撃を行う可能性があります。
Q: 詳しい情報はどこで入手できますか?
A: 当社は9月18日にホームページに「Hikvisionセキュリティ通知」を公表し、9月19日にソーシャルメディアアカウントでも公開しました。
• セキュリティー研究者開示報告
Q: これは中国政府のバックドアですか?
A: いいえ、違います。Hikvisionは政府のバックドアを製品に搭載することはありません。この脆弱性をHikvisionに報告したセキュリティ研究者のWatchful_IP氏は、「いいえ、絶対にありません。このようなやり方はないはずです。また、すべてのファームウェアが影響を受けるわけではありません」と述べています。
Q: Hikvisionは、この脆弱性に対してどのような対応をしたでしょうか?
A: 当社は、責任ある情報開示原則(Responsible disclosure principles)と、グローバルな業界で広く受け入れられている標準的な「協調的な脆弱性の公開プロセス(Coordinated Vulnerability Disclosure Process)」に従い、ソフトウェアの所有者とエンドユーザーを最大限に保護するために、この脆弱性が制御された方法で共有・開示されました。
2021年6月23日、HikvisionはWatchful IPというセキュリティ研究者から連絡を受け、Hikvisionのカメラに潜在的な脆弱性があることを報告しました。この報告を確認した後、Hikvisionは研究者と直接協力して、報告された脆弱性にパッチを当て、正常に解消されたことを確認しました。
研究者が開示報告書に「この問題が推奨された方法で修正されたことを嬉しく思います」と述べています。
当社と研究者の双方が、更新されたファームウェアによって脆弱性が適切に修正されたことを確認した後、9月19日に、当社のウェブサイトおよびソーシャルメディアでセキュリティ通知を公開しました。
Q:「ポートフォワーディング」に関するHikvisionの推奨事項はありますか?
A: ある業界ブログの最近の記事に、「ポートフォワーディング」に関する当社の推奨事項に関する誤解を招くような情報が掲載されていました。なお、Hikvisionのガイドライン「ポートフォワーディングについて」によると、エンドユーザーにポートフォワーディングに対する注意を促し、「ポートフォワーディングは絶対に必要な場合にのみ設定すべきである」とアドバイスしています。
エンドユーザーがインターネット経由でアクセスする必要のあるデバイスにポートフォワーディングを設定することを肯定的に選択した場合、Hikvisionは以下のサイバーセキュリティのベストプラクティスをサポートします。(1)「インターネットに公開するポート番号を最小限にする」、(2)「一般的なポートを避け、カスタマイズされたポートに再設定する」、「IPフィルタリングを有効にする」、(3)強力なパスワードを設定する、(4)Hikvisionがリリースする最新のデバイスファームウェアに適時アップグレードする。
Q:自分のHikvision製品のリスクをどのように評価するか?
A: この脆弱性を利用するには、攻撃者が脆弱なデバイスと同じネットワーク上にいる必要があります。つまり、攻撃者は、脆弱なデバイスのログイン画面をアクセスできれば、そのデバイスを攻撃することができます。脆弱性のあるデバイスのログイン画面をアクセスできなければ、脆弱性を悪用することはできません。
リスクレベルを評価するには、影響を受けるデバイスのhttp(s) サーバー(通常は80/443)がインターネット(WAN) に直接に公開しているかどうかを確認します。これにより、潜在的な攻撃者はインターネットからそのデバイスを攻撃することができます。以下はその例です。
① インターネットアクセスのないLANネットワーク(低リスク)
潜在的な攻撃者はインターネットからデバイスのWeb ページにアクセスできないため、リスクが低いです (アクセスするには、攻撃者は物理的にLAN に接続する必要があります)。
② ファイアウォールでデバイスのhttp(s) サーバが遮断されたWAN ネットワーク(低リスク)
潜在的な攻撃者は、インターネットからデバイスのWebページにアクセスすることができないため、システムは低リスクと考えられます。
③ Hik-Connect & Hik-ProConnect (安全&低リスク)
Hik-ConnectおよびHik-ProConnectは、上記2つ目のシナリオの中の特別なケースです。これらのサービスは、http(s)サーバーは必要ありませんので、通常通り安全です。
④インターネットからのVPNアクセス(低リスク)
VPN (Virtual Private Network)は、認証されたユーザのみがログインし、サイト内のネットワークからデバイスにアクセスできるため、デバイスへのアクセスが安全に行われ、簡単に攻撃されることはありません。
⑤ポートフォワーディング(高リスク)
ポートフォワーディングは、ユーザーがデバイスにリモートアクセスするための簡単で安価な方法です。しかし、ポートフォワーディングは、インターネットからのデバイスへのアクセスを特定のポートでブロックしないようにファイアウォールに指示するため、追加のリスクをもたらします。
そのため、今回の脆弱性では、転送されたhttp(s)ポートを介して潜在的な攻撃者が機器にアクセスできる限り、機器が攻撃される危険性が高くなります。
⑥ DDNS (高リスク)
DDNSもポートフォワーディングを使用しているため、潜在的な攻撃者はインターネット経由でデバイスにアクセスできる可能性があり、デバイスが攻撃を受ける危険性が高くなります。
⑦ 直接WANアクセス(高リスク)
一部のサイトでは、インターネットに直接(WAN 経由で) デバイスを設置しています。これらのデバイスはパプリックIPアドレスを持ち、アクセス可能なhttp(s)ポートがインターネットに公開されている限り、システム全体はリスクが高いです。
簡単に結論をいうと、システムのリスクレベルを評価する最も簡単な方法は、追加のネットワーク検証なしにインターネット(WAN)から直接デバイスのWeb ページにアクセスできるかどうかを確認することです。できる場合、システムは「高リスク」であると判定できます。
当社が知る限り、これまでにこの脆弱性の概念実証(PoC)の公開や悪用されたことはありません。しかし、パッチがリリースされ、攻撃者がこの脆弱性の存在を知った今、彼らはこの脆弱性を探すことになるでしょう。Hikvisionでは、http(s)サービスがインターネットに直接公開されている影響を受けたカメラ/NVRをお持ちの方は、デバイスにパッチを適用し(推奨)、VPNのようなより安全なソリューションを使用することを強くお勧めします。
注:この文書は、インターネット攻撃のリスクについて述べたものです。ここでは、お客様の内部ネットワークが適切にセグメント化されており、危険な人物がお客様の内部ネットワークにアクセスできないことを前提としています。さらにリスクを評価するために、内部ネットワークが信頼できるかどうかを判断し、信頼できない場合は、パッチを当てると、ネットワークセグメント化して映像監視ネットワークを内部ネットワークの他の部分から分離するような適切な措置を講じてください。
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.