家電操作対応東芝製HEMSに複数脆弱性 - 機器の制御奪われるおそれ
東芝ライテック製ホームゲートウェイ2製品に、複数の脆弱性が含まれていることがわかった。OSのコマンドが実行されたり、機器の制御を奪われるおそれがあるという。
脆弱性情報のポータルサイトであるJVNによれば、「HEM-GW16A」「HEM-GW26A」のファームウェアにおいてOSコマンドインジェクション「CVE-2018-16200」や、認証情報のハードコード「CVE-2018-16201」、アクセス制御不備「CVE-2018-16197」など、あわせて5件の脆弱性が明らかになったもの。
脆弱性によって影響は異なるが、悪用されると任意のコマンドが実行されたり、機器を不正に操作されるおそれがある。
一連の脆弱性は、三井物産セキュアディレクションの国分裕氏や一ノ瀬太樹氏、米山俊嗣氏らが情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
東芝ライテックでは、脆弱性を解消したファームウェアを公開。これら機器に対して2018年12月19日より自動更新を実施するとしており、自動更新を許可しない設定となっている場合は、自動更新を許可する設定に変更するよう呼びかけている。
(Security NEXT - 2018/12/19 )
ツイート
PR
関連記事
予約管理システムから顧客にフィッシングメッセージ - 福岡のホテル
個人情報含む検体、検査機関への送付時に紛失 - 高知県
農協協会のインスタアカウントが乗っ取り被害
集積所へ時間外投棄されたゴミから患者情報 - 厚木市立病院
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
