Lenovoの一部スマートクロックに脆弱性 - 乗っ取られるおそれ
Lenovoのスマートクロックに乗っ取りが可能となる脆弱性が明らかとなった。ファームウェアのアップデートにて修正されている。
「Lenovo Smart Clock Essential with Alexa Built In(日本未発売)」に脆弱なパスワードなどがハードコードされている脆弱性「CVE-2023-0896」が明らかとなったもの。
脆弱性を発見したCisco Systemsのセキュリティ研究者によれば、rootアカウントにおいて脆弱なパスワードがハードコードされており、「SSH」や「telnet」経由でアクセスして端末の制御を奪うことが可能だった。
初期パスワードは「123456」と設定されており、基本的な辞書を用いたブルートフォース攻撃でも1秒とかからず攻撃が成功したと指摘。ファイルシステムへアクセスも可能となり、端末を乗っ取られた場合、ソフトウェアなどをインストールされるおそれもあった。
脆弱性の報告を受けたLenovoでは、同脆弱性の重要度を「高(High)」とレーティング。ファームウェア「バージョン90」で脆弱性を修正した。ネットワークへ接続されている場合は、毎日0時に自動で更新が行われるほか、手動でアップデートを取得することもできるという。
(Security NEXT - 2023/04/14 )
ツイート
PR
関連記事
福島原発事故の追加賠償に関する請求書を誤送付 - 東電
講座受講者宛のメールで「CC」送信 - 八代市
個人情報含む手帳を紛失、3月にも - 室蘭総合病院
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
LINE公式アカウントで非公開のクーポンが表示される不具合
Zyxel製機器の脆弱性、積極的な悪用も - あらたな脆弱性も判明
WP向け人気プラグイン「Jetpack」に深刻な脆弱性 - 早急に更新を
チャリティランナー宛のメールで誤送信 - 国際協力NGO
読者の提供情報を記者が家族に漏洩 - 神奈川新聞
「エムアイカード」装うフィッシングの報告が増加
