KiloViewエンコーダシリーズに深刻な脆弱性、CVSSスコア9.8
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、KiloViewエンコーダシリーズデバイスの複数バージョンに影響を及ぼす極めて重大な脆弱性(CVE-2026-1453)を公表しました。この脆弱性は、認証されていない攻撃者がデバイスの完全な管理者アクセス権を獲得できる危険性があるため、緊急の対応が求められています。2026年1月29日にアラートコードICSA-26-029-01として発行されたこの警告は、CVSS v3スコア9.8という最高レベルに近い評価を受けており、影響を受けるインフラにとって極めて高いリスクを示しています。
認証バイパスによる完全な管理権限奪取
この脆弱性は、重要な管理機能において認証メカニズムが欠如していることに起因します。攻撃者は、認証なしに管理者アカウントの作成や削除を行うことができ、結果として対象デバイスを完全に制御することが可能になります。この認証バイパスは、リモートからの未認証の攻撃者によって悪用される可能性のある根本的なセキュリティ上の欠陥です。
広範囲にわたる影響と対象製品
KiloViewエンコーダデバイスは、通信や情報技術を含むクリティカルインフラ分野で広く導入されています。中国に本社を置く同社は、世界中で使用されるエンコーディング機器を製造しており、この脆弱性は世界中の組織にとって懸念材料となっています。
本脆弱性の影響を受けるのは、以下のエンコーダシリーズの複数のハードウェアバージョンおよびファームウェアビルドです。
- E1シリーズ
- E2シリーズ
- G1シリーズ
- P1シリーズ
- P2シリーズ
- RE1シリーズ
この脆弱性は、研究者Muhammad Ammar(0xam225)によって発見され、CISAに責任ある開示が行われました。現時点では、この脆弱性が活発に悪用された証拠は発見されていません。
CISAによる緊急勧告と対策
CISAは、この脆弱性の深刻な性質から、組織に対して即座の対処を強く推奨しています。推奨される対策には以下が含まれます。
- 影響を受けるデバイスのネットワーク隔離
- インターネットからのアクセス制限
- 制御システムネットワークのファイアウォールによる保護
- ビジネスネットワークからの隔離
- リモートアクセスが必要な場合の最新セキュリティパッチ適用済みVPNの使用(ただしVPN自体にも脆弱性がある可能性を考慮)
組織は、すべての制御システムデバイスのネットワーク露出を最小限に抑え、多層防御戦略と産業用制御システムの包括的なサイバーセキュリティ計画を導入することが奨励されています。この脆弱性が攻撃者に悪用される前に、システムをパッチ適用する重要な猶予期間があるため、迅速な対応が求められます。
元記事: https://gbhackers.com/critical-flaws-in-kiloview-devices/