Lenovoの一部スマートクロックに脆弱性 - 乗っ取られるおそれ

Lenovoのスマートクロックに乗っ取りが可能となる脆弱性が明らかとなった。ファームウェアのアップデートにて修正されている。

「Lenovo Smart Clock Essential with Alexa Built In（日本未発売）」に脆弱なパスワードなどがハードコードされている脆弱性「CVE-2023-0896」が明らかとなったもの。

脆弱性を発見したCisco Systemsのセキュリティ研究者によれば、rootアカウントにおいて脆弱なパスワードがハードコードされており、「SSH」や「telnet」経由でアクセスして端末の制御を奪うことが可能だった。

初期パスワードは「123456」と設定されており、基本的な辞書を用いたブルートフォース攻撃でも1秒とかからず攻撃が成功したと指摘。ファイルシステムへアクセスも可能となり、端末を乗っ取られた場合、ソフトウェアなどをインストールされるおそれもあった。

脆弱性の報告を受けたLenovoでは、同脆弱性の重要度を「高（High）」とレーティング。ファームウェア「バージョン90」で脆弱性を修正した。ネットワークへ接続されている場合は、毎日0時に自動で更新が行われるほか、手動でアップデートを取得することもできるという。

（Security NEXT - 2023/04/14 ）ツイート