TP-Linkは、ローカルエリアネットワーク(LAN)上の攻撃者が検証なしに管理者パスワードをリセットできる可能性がある、VIGIカメラシリーズの認証バイパス脆弱性に対処する重大なセキュリティアドバイザリを公開しました。
CVE-2026-0629として追跡されているこの脆弱性は、セキュリティ監視のためにこれらの監視システムに依存している組織および個人にとって重大なリスクをもたらします。
この認証バイパスは、複数のVIGIカメラモデルにおけるローカルWebインターフェースのパスワード回復機能に存在します。
この脆弱性は、パスワード回復プロセス中のクライアント側状態の不適切な検証に起因し、同一ネットワーク上の攻撃者が回復メカニズムを操作して不正な管理者アクセスを得られるようにします。
この欠陥を悪用する攻撃者に必要なのはローカルネットワークへのアクセスのみであり、認証資格情報や複雑な攻撃ベクトルは不要です。
攻撃者が管理者アクセスを得ると、カメラ設定の変更、ログの無効化、ネットワーク設定の改変、あるいは監視インフラ全体の完全な侵害が可能になります。
このレベルのアクセスは、影響を受ける導入環境のセキュリティ態勢を根本から損ない、企業ネットワーク内でのラテラルムーブメント(横展開)の経路を生み出します。
この脆弱性のCVSS v4.0スコアは8.7で、高深刻度に分類されます。攻撃ベクトルはネットワーク隣接(AV:A)で、低い複雑性(AC:L)を要し、未認証のエンドポイント(PR:N)を悪用します。
最も重大なのは、悪用に成功すると機密性・完全性・可用性の各観点で高い影響を伴うアクセス(VC:H/VI:H/VA:H)を攻撃者に与える点です。これらのカメラを運用する組織は、優先的な是正対象として扱うべきです。
TP-Linkのアドバイザリでは、人気のVIGI Cxシリーズ(C345、C445、C355、C455)やVIGI InSight Sxシリーズを含む、複数の製品ラインにまたがる28の異なるカメラモデルが特定されています。
この脆弱性は2024年から2025年初頭にかけてリリースされたファームウェアバージョンに影響しますが、パッチの提供状況はモデルおよび地域によって異なります。
組織は、提供されている修正マトリクスに照らして導入済みファームウェアのバージョンを直ちに確認し、信頼できないネットワークに露出しているカメラの更新を優先すべきです。
更新は地域別のダウンロードセンターから入手できます。米国のサポートポータルでは北米向けのバージョンが維持されており、国際向けおよびインド向けのポータルではローカライズされた配布物が提供されています。
ITチームは、セキュリティコンプライアンスを維持しつつ運用上の混乱を最小化するため、テストおよび展開のスケジュールを策定すべきです。
ネットワークはセグメント化し、カメラへのアクセスを必要な管理担当者と監視システムに限定することで、是正期間中の攻撃対象領域を縮小すべきです。
直ちにパッチ適用ができない組織は、カメラへのローカルネットワークアクセスを制限するネットワークレベルの制御を実装し、運用上可能な範囲でパスワード回復機能を無効化すべきです。
監視システムは、フォレンジック分析のために、すべての管理者アクセス試行と設定変更を記録すべきです。
翻訳元: https://cyberpress.org/tp-link-vulnerability-allows/