Hikvision製品に複数の脆弱性、細工されたネットワークパケットでデバイス停止の恐れ

概要

Hikvisionは、同社のセキュリティデバイスに影響を与える2つの深刻なバッファオーバーフロー脆弱性を開示しました。これらの脆弱性が悪用されると、攻撃者は細工されたネットワークパケットを送信することで、対象デバイスの誤動作やシステム停止を引き起こす可能性があります。

この脆弱性は、認証やユーザー操作を必要とせず、同じローカルネットワーク上の攻撃者によって悪用される恐れがあるため、迅速な対応が求められます。

今回開示された脆弱性は、以下のCVE IDで追跡されています。

両脆弱性とも、デバイスの検索および検出機能におけるスタックオーバーフロー問題に起因します。共通脆弱性評価システム（CVSS）v3.1の基本スコアは8.8（高）と評価されています。

CVSSベクトル文字列は「CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H」であり、隣接ネットワークからの攻撃が可能で、攻撃の複雑性は低く、特権やユーザー操作は不要です。その潜在的な影響は、機密性、完全性、可用性の全てに及びます。

影響を受ける製品シリーズは以下の通りです。

CVE-2025-66176: アクセス制御シリーズ製品
CVE-2025-66177: ネットワークビデオレコーダー（NVR）、デジタルビデオレコーダー（DVR）、中央ビデオレコーダー（CVR）、IPカメラなどのビデオ録画システム

Hikvisionは、セキュリティアドバイザリポータルを通じて、影響を受ける特定のモデルの包括的なリストを公開しています。

これらの脆弱性は、以下の研究者によって発見されました。

Hikvisionは、責任ある開示を行った両研究チームに感謝の意を表明しています。

ユーザーは、Hikvisionの公式サポートダウンロードセンターから最新のファームウェアバージョンを直ちに入手し、適用することが強く推奨されます。特に、企業や重要インフラに展開されているデバイスでは、迅速なアップデートがネットワークベースの攻撃を軽減するために極めて重要です。

ネットワーク管理者は、パッチ適用が完了するまでの間、以下の対策を実施することを推奨します。

元記事: https://gbhackers.com/multiple-hikvision-flaws-allow-device-disruption/