数百台のLG製セキュリティカメラが、最近発見された脆弱性によりリモートハッキングの危険にさらされていますが、修正パッチは提供されません。
サイバーセキュリティ機関CISAは木曜日、LGイノテック製LNV5110Rカメラに認証回避の脆弱性が存在し、攻撃者がデバイスの管理者権限を取得できる可能性があることを明らかにしました。
この脆弱性はCVE-2025-7742として追跡されており、「高い深刻度」と評価されています。CISAによると、攻撃者はHTTP POSTリクエストをデバイスの不揮発性ストレージにアップロードすることで、権限昇格した状態でリモートコード実行が可能になるとのことです。
LGイノテックには通知が行われましたが、同社は「製品がサポート終了(EOL)となっているため、脆弱性の修正はできない」と述べています。
CISAから脆弱性の報告者としてクレジットされているMicroSecの研究者、Souvik Kandar氏はSecurityWeekに対し、インターネットに公開されていてリモートハッキングが可能なカメラが約1,300台存在すると語りました。
研究者によれば、攻撃者はこの脆弱性を悪用してライブ映像へのアクセス、カメラの妨害、その他の悪意ある行為が可能になるとのことです。
「これは完全な認証不要のリモートコード実行脆弱性です」とKandar氏は説明します。「攻撃者はログインなしでリバースシェルをアップロードし、管理者権限を取得し、任意のLinuxコマンドを実行でき、デバイスを踏み台として内部ネットワークに侵入することも可能です。」
CISAによれば、影響を受ける製品は商業施設など重要インフラ分野を含め、世界中で使用されています。
広告。スクロールして記事の続きをお読みください。
SecurityWeekはLGイノテックにコメントを求めており、同社から回答があれば本記事を更新します。
Kandar氏は最近、AutomationDirect、Instantel、Lantronixといった産業用環境向け製品にも脆弱性を発見しています。
翻訳元: https://www.securityweek.com/no-patch-for-flaw-exposing-hundreds-of-lg-cameras-to-remote-hacking/