古野電気株式会社が提供する Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv には、ユーザの入力値を適切に検証しないため、root 権限で任意のコマンドを実行される脆弱性が存在します。 古野電気株式会社の製品ページには、この VDR は "Records all crucial data to identify the cause of maritime casualty as well as contribute to the future prevention of the catastrophe of any kind. (海上災害の原因特定だけでなく、将来起こり得るあらゆる災害の防止に役立てるための重要なデータを全て記録しています。)" と記載されています。 Voyage Data Recorder (VDR) VR-3000/VR-3000S および VR-7000 のファームウェアアップデート機能 moduleserv は、10110/TCP で通信を待ち受けています。moduleserv はユーザの入力値を適切に検証しないため、攻撃者は root 権限で任意のコマンドを実行することが可能です。詳しい情報は IOActive のブログ、Maritime Security: Hacking into a Voyage Data Recorder (VDR) をご確認ください。 Maritime Security: Hacking into a Voyage Data Recorder (VDR) http://blog.ioactive.com/2015/12/maritime-security-hacking-into-voyage.html

[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 開発者は、本脆弱性の対策版として次のファームウェアをリリースしています。 VR-3000/VR-3000S: * ファームウェアバージョン V1.50 向け対策版 V1.56 * ファームウェアバージョン V1.61 向け対策版 V1.62 * ファームウェアバージョン V2.06 から V2.54 までのバージョン向け対策版 V2.56 * ファームウェアバージョン V2.60 から V2.61 までのバージョン向け対策版 V2.62 VR-7000: * ファームウェアバージョン V1.02 向け対策版 V1.04