三洋電機の複数のCCTVネットワークカメラに脆弱性、修正は提供されず

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月18日、「JVNVU#96498348: 複数の三洋電機製CCTVネットワークカメラにおけるクロスサイトリクエストフォージェリの脆弱性」において、三洋電機（現パナソニック子会社）が提供している複数のCCTVネットワークカメラにクロスサイトリクエストフォージェリ（CSRF）脆弱性が報告されていると伝えた。これら脆弱性を悪用されると、攻撃者によって標的となったデバイス上に対して管理者権限でパスワード変更などを行われる危険性がある。

今回報告されている脆弱性は次のとおり。

CVE-2022-4621 - HTTPリクエストの検証が不十分なことが原因で、CSRF攻撃によって管理者権限で認証の無効化やパスワードが実行される可能性がある

次の製品およびバージョンがこの脆弱性の影響を受けるとされている。

VCC-HD5600P ファームウェアバージョン 2.03-06
VDC-HD3300P ファームウェアバージョン 2.03-08および1.02-05
VCC-HD3300 ファームウェアバージョン 2.03-02
VDC-HD3100P ファームウェアバージョン 2.03-00
VCC-HD2100P ファームウェアバージョン 2.03-02

この脆弱性の発見者であるZero Science Labによって、検証コードが公開されている。

Zero Science Lab » Panasonic Sanyo CCTV Network Camera 2.03-0x CSRF Disable Authentication / Change Password

Zero Science Labによると、脆弱性の情報はすでに開発元のベンダーに報告されているものの、該当する製品はすでに2019年にサポートが終了しているため修正は提供されないとのことだ。パナソニックのWebサイトには、当該製品についてはサポートが終了しており、修理や電話・メールでの問い合わせは受け付けていないという旨の説明が掲載されている。

三洋電機製品のサポート情報