Hikvisionは、同社のセキュリティデバイスに影響する2件の重大なバッファオーバーフロー脆弱性を開示しました。これにより、ネットワーク経由の攻撃者がデバイスの誤動作を引き起こす可能性があります。
CVE-2025-66176およびCVE-2025-66177として追跡されているこれらのセキュリティ上の欠陥は、一部の入退室管理製品および映像記録システムに影響します。
両方の脆弱性は、デバイス検索・検出機能におけるスタックオーバーフローの問題に起因します。
| CVE ID | 影響を受ける製品 | 基本スコア |
|---|---|---|
| CVE-2025-66176 | 一部の入退室管理シリーズ製品 | 8.8 |
| CVE-2025-66177 | 一部のNVR、DVR、CVR、IPCシリーズ製品 | 8.8 |
同一のローカルエリアネットワーク上にいる攻撃者は、未修正のデバイスに対して特別に細工したパケットを送信することでこれらの弱点を悪用でき、認証やユーザー操作を必要とせずにシステムの障害を引き起こす可能性があります。
これらの脆弱性はいずれもCVSS v3.1の基本スコアが8.8で、高い深刻度を示しています。
ベクター文字列(CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A: H)は、攻撃ベクトルが隣接ネットワークから到達可能で、攻撃の複雑性が低く、特権不要で、ユーザー操作も不要であることを示しています。想定される影響は、機密性・完全性・可用性に及びます。
最初の脆弱性はHikvisionの入退室管理シリーズ製品に影響し、2つ目はネットワークビデオレコーダー、デジタルビデオレコーダー、セントラルビデオレコーダー、およびIPカメラを対象としています。
Hikvisionは、セキュリティアドバイザリーポータルを通じて、影響を受ける具体的なモデルの包括的な一覧を公開しています。
Cisco TalosチームのメンバーがCVE-2025-66176を報告し、独立系セキュリティ研究者のAngel Lozano Alcazar氏とPedro Guillen Nuñez氏がCVE-2025-66177を発見しました。
Hikvisionは、責任ある開示に対して両研究チームに謝意を示しました。
ユーザーは、Hikvisionの公式サポートダウンロードセンターから最新のファームウェアバージョンを直ちに入手する必要があります。
同社は、潜在的なネットワークベースの攻撃を軽減するため、特にこれらのデバイスが物理セキュリティを監視する企業環境や重要インフラでの導入において、更新を迅速に適用することを強調しています。
ネットワーク管理者には、監視ネットワークのセグメント化、デバイス検出プロトコルを信頼できるゾーンに制限すること、そしてパッチ適用が完了するまで悪用の試みを示す異常なトラフィックパターンを監視することが推奨されます。
翻訳元: https://gbhackers.com/multiple-hikvision-flaws-allow-device-disruption/
