| タイトル | Harman AMX 製品がハードコードされたパスワードを使用する問題 |
|---|---|
| 概要 | 複数の Harman AMX 製品には、デバッグ用のアカウントがハードコードされている問題が存在します。 認証情報がハードコードされている問題 (CWE-798) - CVE-2015-8362 発見者のブログ投稿によると、AMX シリーズの複数のモデルには、ハードコードされた管理権限アカウント ("バックドア") が存在します。さらに詳しい情報は、発見者の脆弱性アドバイザリをご確認ください。AMX のリリースノートには、これはデバッグ用アカウントであったと記載されています。 CWE-798: Use of Hard-coded Credentials http://cwe.mitre.org/data/definitions/798.html ブログ投稿 http://blog.sec-consult.com/2016/01/deliberately-hidden-backdoor-account-in.html 脆弱性アドバイザリ https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-0_AMX_Deliberately_hidden_backdoor_account_v10.txt AMX のリリースノート http://www.amx.com/techcenter/firmware.asp?Category=Hot%20Fix%20Files |
| 想定される影響 | 認証情報を知る攻撃者によって、当該機器に管理者権限でアクセスされる可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 開発者はいくつかの製品に対してアップデートをリリースしています。 アップデートの入手に関するさらに詳しい情報は、開発者へお問い合わせください。 アップデート http://www.amx.com/techcenter/NXSecurityBrief/ |
| 公表日 | 2016年1月21日0:00 |
| 登録日 | 2016年1月26日16:24 |
| 最終更新日 | 2016年2月22日16:46 |
| CVSS2.0 : 危険 | |
| スコア | 10 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Harman |
| AMX NX-1200 ファームウェア v1.2.322 |
| AMX NX-1200 ファームウェア v1.3.100 |
| AMX NX-1200 ファームウェア v1.2.322 |
| AMX NX-1200 ファームウェア v1.3.100 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年01月26日] 掲載 [2016年02月22日] 参考情報:ICS-CERT ADVISORY (ICSA-16-049-02) を追加 |
2018年2月17日10:37 |
| 概要 | The setUpSubtleUserAccount function in /bin/bw on Harman AMX devices before 2015-10-12 has a hardcoded password for the BlackWidow account, which makes it easier for remote attackers to obtain access via a (1) SSH or (2) HTTP session, a different vulnerability than CVE-2016-1984. |
|---|---|
| 公表日 | 2016年1月22日20:59 |
| 登録日 | 2021年1月26日14:58 |
| 最終更新日 | 2024年11月21日11:38 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:harman:amx_firmware:1.3.100:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:harman:amx_firmware:1.2.322:*:*:*:*:*:*:* | |||||