Daktronics製コントローラーの一部に深刻度の高い脆弱性が発見されました。この脆弱性を悪用すれば、ハッカーが高速道路標識や電光掲示板を改ざんできる可能性があると、発見者のセキュリティ研究者が指摘しています。
Daktronicsは、大規模LEDビデオディスプレイ、電子スコアボード、デジタル看板、ダイナミックオーディオシステムの設計・製造・サービスを手がけるアメリカ企業です。同社のディスプレイは世界中で使用されており、高校の体育館やプロスポーツアリーナから高速道路、国際空港、都市部の電光掲示板まで、あらゆる場所に設置されています。
先週CISAが公開したアドバイザリによると、同社の大規模ディスプレイを制御するDaktronics VFC-DMP-5000、DMP-5000、DMP-8000の各コントローラーに、合計3件の脆弱性が存在することが明らかになりました。
SecurityWeek ICSサイバーセキュリティカンファレンス、25周年記念特別版をナッシュビルで開催へ
具体的には、認証なしで任意のファイルシステムパスを列挙できるパストラバーサル脆弱性、認証済みユーザーによる任意ファイルアップロード脆弱性、そしてシステムへの完全なアクセスを可能にするデフォルト管理者認証情報の3つが含まれています。
「これらの脆弱性を悪用されると、未認証のユーザーがシステムに対して完全なルートレベルのアクセスと制御を取得できる可能性があります」とCISAはアドバイザリで警告しています。
Daktronicsはパッチをリリースし、ユーザーにデフォルトパスワードの変更を推奨しています。
脆弱性を報告したセキュリティ研究者のThomas Jouは、インターネットに露出した複数のコントローラーを特定しており、ハッカーがリモートからこれらを悪用できる状態にあると、SecurityWeekに語りました。
ただし、プリンストン大学の学部生でもあるJou氏は、インターネットへの露出を防ぐ責任は、ベンダーではなくDaktronicsの顧客側にあると指摘しています。
同研究者によると、脆弱性の影響は単純な偵察活動からデバイスの完全制御まで多岐にわたるとのことです。
「パストラバーサル脆弱性を利用すると、デバイス上のファイルを読み取ることができ、偵察や認証情報の探索に役立てられます。また、デバイスはデフォルトの管理者認証情報が設定された状態で出荷されており、変更が義務付けられていなかったため、フィールドテストでは、インターネットに露出しているユニットの大多数が依然としてデフォルト認証情報を使用していることが判明しました。さらに、ファイルアップロード脆弱性を組み合わせることで、攻撃者は自分でコントロールするコンテンツやコードをデバイスに送り込むことが可能になります。
実際の影響としては、攻撃者が看板の表示内容を改ざんし、電光掲示板や道路標識に虚偽または悪意のあるメッセージ、偽の警告などを表示させることが可能です。最終的にはデバイスを完全に乗っ取られる可能性もありますが、実際にはそこまで至ることは容易ではありません。」
Jou氏によると、脆弱性の開示プロセスはCISAのVINCEプラットフォームを通じて行われ、ベンダーの対応は非常に迅速だったとのことです。
「2026年1月初旬にVINCEを通じて脆弱性を報告したところ、ベンダーは調査結果を受け入れ、私とCISAとともに技術的な詳細を検討し、3月初旬頃にはパッチ済みファームウェアを準備完了させていました。公開前の残りの期間は、主にアドバイザリの調整と顧客への通知に費やされました」と研究者はSecurityWeekに語りました。
Daktronicsは、SecurityWeekのコメント依頼に対して回答していません。