アドバイザリID:DHCC-SA-202407-001
初版発行日:2024-07-31
サイバーセキュリティは、すべてのIoT接続デバイスの製造業者およびユーザーにとって、デジタル製品およびサービス全般と同様に継続的な課題です。Dahua Technologyは、製品設計プロセスを通じて、そして顧客向けのDahua Trust Centerを通じて、透明性のある脆弱性報告と対応を行うことで最先端のサイバーセキュリティ実践の開発と維持に取り組んでいます。
KITRI BoB 12thからのTeam.ENVYから報告されたセキュリティ問題に対応するため、Dahuaは直ちに影響を受ける製品モデルの包括的な調査を実施し、脆弱性を修正するパッチおよびファームウェアを開発しました。以下のリンクからダウンロードするか、(https://software.dahuasecurity.com/en/download)、Dahuaの現地技術サポートに連絡してアップグレードを行ってください。
サイバーセキュリティのベストプラクティスに従い、すべてのDahua顧客に対してシステムを最新に保ち、最大限に保護するために、当社のセキュリティアドバイザリに従うことを強くお勧めします。同時に、他のサイバーセキュリティ関連の問題についてご不明な点がございましたら、アフターセールスチームか担当技術までお気軽にご連絡ください。
概要
CVE-2024-39944
攻撃者は、巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスをクラッシュさせることができます。
CVE-2024-39945
流出による取得や攻撃者により特定された管理者のユーザー名とパスワードを使用し、攻撃者は巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスをクラッシュさせることができます。
CVE-2024-39946
流出による取得や攻撃者により特定された管理者のユーザー名とパスワードを使用し、攻撃者は巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスの初期化を引き起こすことができます。
CVE-2024-39947
流出による取得や攻撃者により特定された一般ユーザーのユーザー名とパスワードを使用し、攻撃者は巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスをクラッシュさせることができます。
CVE-2024-39948
攻撃者は、巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスをクラッシュさせることができます。
CVE-2024-39949
攻撃者は、巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスをクラッシュさせることができます。
CVE-2024-39950
攻撃者は、巧妙に偽装されたデータパケットを脆弱性のあるインターフェースに送信することで、デバイスの初期化を引き起こすことができます。
脆弱性スコア
| CVE ID | 基本スコア | 一時スコア |
| CVE-2024-39944 | 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) | 6.7 (E:P/RL:O/RC:C) |
| CVE-2024-39945 | 4.9 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H) | 4.4 (E:P/RL:O/RC:C) |
| CVE-2024-39946 | 6.0 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:L) | 5.4 (E:P/RL:O/RC:C) |
| CVE-2024-39947 | 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) | 5.9 (E:P/RL:O/RC:C) |
| CVE-2024-39948 | 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) | 6.7 (E:P/RL:O/RC:C) |
| CVE-2024-39949 | 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) | 6.7 (E:P/RL:O/RC:C) |
| CVE-2024-39950 | 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L) | 7.7 (E:P/RL:O/RC:C) |
影響を受ける製品と修正ソフトウェア
| CVE ID | 影響を受けるモデル | 影響を受けるバージョン | 修正ソフトウェア |
| CVE-2024-39944 | NVR4XXX, IPC-HX8XXX | 2024年2月2日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39945 | NVR4XXX | 2023年12月13日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39946 | NVR4XXX | 2023年12月13日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39947 | NVR4XXX | 2023年12月13日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39948 | NVR4XXX | 2023年12月13日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39949 | NVR4XXX | 2023年12月13日以前のビルド | 7月31日までに更新予定 |
| CVE-2024-39950 | NVR4XXX, IPC-HX8XXX | 2023年1月22日以前のビルド | 7月31日までに更新予定 |
注: デバイスのビルド日付は、メインメニュー-メンテナンス-システム情報-バージョン情報で確認できます。
修正ソフトウェアのダウンロード
上記の表に記載されている修正ソフトウェアまたはその新しいバージョンをDahuaのウェブサイトからダウンロードするか、Dahuaの現地技術サポートに連絡してアップグレードしてください。
クラウドアップグレード:クラウドアップグレード機能を持つ製品については、関連する修正バージョンが30営業日以内にクラウドアップグレードを通じて順次提供されます。
