TP-Linkは、同社のVIGI CおよびVIGI InSightシリーズの業務用監視カメラモデル32機種以上を制御可能にする形で悪用され得る深刻な脆弱性を修正した。
このセキュリティホールはCVE-2026-0629として追跡され、高深刻度に分類されている。先週公開されたTP-Linkのアドバイザリでは、カメラのローカルWebインターフェースにあるパスワード復旧機能に影響する認証回避の欠陥として説明されている。
TP-Linkによると、この欠陥は「クライアント側の状態を操作することで、LAN上の攻撃者が検証なしに管理者パスワードをリセットできる」もので、攻撃者はデバイスへの完全な管理者アクセスを得られる。
この脆弱性は、IoTサイバーセキュリティ企業Redinent Innovationsの共同創業者兼CTOであるArko Dhar氏によって発見された。
Dhar氏はSecurityWeekに対し、攻撃者はこの脆弱性を悪用して、映像フィードやその他の機能を含む対象カメラへの完全なアクセスを得られる可能性があると語った。
研究者は、この欠陥がリモートから悪用可能であると警告し、2025年10月の発見時点で、攻撃に対して脆弱であった可能性のあるインターネット公開カメラが世界中で2,500台以上あることを特定していたと指摘した。
ただし、同氏が調査したのは影響を受けるカメラモデルのうち1機種のみだった。影響を受ける全モデルにわたる公開デバイスの実数は、はるかに多い可能性がある。
TP-LinkのVIGIカメラは、36以上の国・地域の組織で利用されており、主に欧州、東南アジア、そして南北アメリカで使用されている。
脅威アクターが攻撃でTP-Link製品を標的にすることは珍しくない。CISAの既知の悪用されている脆弱性(KEV)カタログには、近年の攻撃で悪用されたTP-Linkの欠陥が現在5件掲載されているが、いずれも無線ルーターおよびレンジエクステンダーに影響するものだ。
それでも、ハッカーは実環境で他社製カメラの脆弱性を悪用することが多く、組織が今回新たに公開された欠陥を軽視しないことが重要である。
翻訳元: https://www.securityweek.com/tp-link-patches-vulnerability-exposing-vigi-cameras-to-hacking/
