製品・ソフトウェアに関する情報
脆弱性検索
ACTi 製の複数のカメラ製品に脆弱性
タイトル ACTi 製の複数のカメラ製品に脆弱性
概要

報告者によると、ACTi が提供するカメラ製品のうち、ファームウェア バージョン A1D-500-V6.11.31-AC を使用している複数のシリーズに問題が存在するとのことです。 重要な機能に対する認証欠如の問題 (CWE-306) - CVE-2017-3184 これらの製品は、設定の初期化機能に対する適切なアクセス制限が行われていません。遠隔の第三者が http://x.x.x.x/setup/setup_maintain_firmware-default.html のような URL に直接アクセスすることで、製品の設定を初期化することが可能です。これにより当該機器に対するサービス運用妨害 (DoS) を引き起こしたり、脆弱なデフォルトパスワードの問題 (CVE-2017-3186) を使用したりすることが可能です。 GET リクエストに含まれるクエリ文字列による情報漏えい (CWE-598) - CVE-2017-3185 これらの製品のウェブインタフェースでは、ユーザ名やパスワードなど機微な情報を含む GET リクエストを使用します。そのため、ブラウザ履歴やリファラ、通信ログなど様々な履歴からこれらの機微な情報を取得することが可能です。 脆弱なデフォルトパスワード (CWE-521) - CVE-2017-3186 これらの製品の初期設定では、すべての機器で同一の認証情報を使用しています。初期設定のままで使用している場合、遠隔の第三者は管理者の認証情報でログインし、機器を完全に制御することが可能です。

想定される影響 遠隔の第三者によって、機器を工場出荷状態に初期化されたり、ユーザ名やパスワードなどの機微な情報を取得されたり、初期状態の認証情報を使用して当該機器に管理者としてログインされたりする可能性があります。
対策

2017年3月8日現在、対策方法は不明です。
公表日 2017年3月7日0:00
登録日 2017年6月12日15:09
最終更新日 2018年3月14日14:00
CVSS3.0 : 緊急
スコア 9.8
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
スコア 10
ベクター AV:N/AC:L/Au:N/C:C/I:C/A:C
影響を受けるシステム
ACTi Corporation
ACTi 製カメラファームウェア バージョン A1D-500-V6.11.31-AC を使用している D、B、I、E シリーズ
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2017年06月12日]
  掲載		 2018年2月17日10:37
1 [2018年03月14日]
  参考情報:National Vulnerability Database (NVD) (CVE-2017-3184) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2017-3185) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2017-3186) を追加		 2018年3月14日13:41
NVD脆弱性情報
CVE-2017-3184
概要

ACTi cameras including the D, B, I, and E series using firmware version A1D-500-V6.11.31-AC fail to properly restrict access to the factory reset page. An unauthenticated, remote attacker can exploit this vulnerability by directly accessing the http://x.x.x.x/setup/setup_maintain_firmware-default.html page. This will allow an attacker to perform a factory reset on the device, leading to a denial of service condition or the ability to make use of default credentials (CVE-2017-3186).

公表日 2017年12月16日11:29
登録日 2021年1月26日13:23
最終更新日 2024年11月21日12:24
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:acti:camera_firmware:a1d-500-v6.11.31-ac:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2017-3185
概要

ACTi cameras including the D, B, I, and E series using firmware version A1D-500-V6.11.31-AC have a web application that uses the GET method to process requests that contain sensitive information such as user account name and password, which can expose that information through the browser's history, referrers, web logs, and other sources.

公表日 2017年12月16日11:29
登録日 2021年1月26日13:23
最終更新日 2024年11月21日12:24
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:acti:camera_firmware:a1d-500-v6.11.31-ac:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2017-3186
概要

ACTi cameras including the D, B, I, and E series using firmware version A1D-500-V6.11.31-AC use non-random default credentials across all devices. A remote attacker can take complete control of a device using default admin credentials.

公表日 2017年12月16日11:29
登録日 2021年1月26日13:23
最終更新日 2024年11月21日12:24
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:acti:camera_firmware:a1d-500-v6.11.31-ac:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧