Hikvisionは、同社のセキュリティデバイスに影響する2件の重大なバッファオーバーフロー脆弱性を開示しました。これらは認証を必要とせず、ネットワーク経由の攻撃者がデバイスの誤動作を引き起こす可能性があります。
CVE-2025-66176およびCVE-2025-66177として追跡されているこれらのセキュリティ上の欠陥は、企業環境や重要インフラ環境における入退室管理システムおよび映像記録基盤に重大なリスクをもたらします。
両脆弱性はいずれも、影響を受けるHikvision製品のデバイス検索・検出機能に組み込まれたスタックオーバーフロー問題に起因します。
同一のローカルエリアネットワーク上にいる攻撃者は、特別に細工したパケットを未パッチのデバイスに送信することで、これらの弱点を悪用し、システムを妨害できます。
この攻撃はユーザー操作や昇格権限を必要としないため、Hikvisionの監視および入退室管理システムに依存する組織にとって、これらの欠陥は特に懸念されます。
これらの脆弱性はいずれもCVSS v3.1の基本スコアが8.8で同一であり、複数のセキュリティ観点で高い深刻度を示しています。攻撃ベクトル文字列(CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)は、攻撃者が隣接ネットワーク上にいる必要がある一方で、攻撃の複雑性が低く、権限やユーザー操作も不要であるため、相当なリスクが生じることを示しています。
想定される影響は、影響を受けるデバイスの機密性、完全性、可用性に及びます。
CVE-2025-66176はHikvisionの入退室管理シリーズ製品を特に標的とし、CVE-2025-66177はネットワークビデオレコーダー、デジタルビデオレコーダー、セントラルビデオレコーダー、およびIPカメラに影響します。
Hikvisionは公式のセキュリティアドバイザリーポータルを通じて、影響を受ける具体的なモデルの包括的な一覧を公開しています。
Hikvisionは両脆弱性に対処するファームウェアパッチを提供しており、潜在的なネットワークベースの攻撃を軽減するため、更新を速やかに適用することを強調しています。
ユーザーはHikvisionの公式サポートダウンロードセンターから、最新のファームウェアバージョンを直ちに入手すべきです。
CVE-2025-66176の発見はCisco Talos Teamに功績が認められ、独立系セキュリティ研究者のAngel Lozano Alcazar氏とPedro Guillen Nuñez氏がCVE-2025-66177を発見しました。
Hikvisionは、両研究チームの責任ある情報開示の取り組みに謝意を示しました。
ネットワーク管理者には、パッチを展開する間、直ちに防御策を実施することが推奨されます。
推奨される対応には、監視ネットワークをセグメント化してデバイスを信頼できないゾーンから隔離すること、デバイス検出プロトコルを信頼できるネットワークセグメントに制限すること、そして能動的な悪用の試みを示す可能性のある異常なトラフィックパターンを監視することが含まれます。
これらの暫定措置は、監視システムの可用性がセキュリティ運用に直接影響する企業および重要インフラ環境で運用する組織にとって、特に重要です。
翻訳元: https://cyberpress.org/multiple-hikvision-vulnerabilities/