サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)から最近更新されたアドバイザリーが、Gardyn Home Kitシステムの重大な脆弱性を明らかにしました。
これらの重大な欠陥は最大CVSS スコア9.3を持ち、悪意のある行為者がスマートガーデニングデバイスをリモートでハイジャックすることを可能にする可能性があります。
2026年4月のアラートによると、成功した悪用により、認証されていない攻撃者がエッジデバイスを完全に侵害し、クラウドに保存された機密ユーザー情報にアクセスすることが可能になります。
脆弱性レポートは、攻撃者が侵害されたデバイスを使用してGardynクラウド環境にさらに深く進入できる可能性があることを強調しています。
これは、単一のハイジャックされたスマートガーデンが同じネットワーク上の他の接続されたシステムへの攻撃のゲートウェイとして機能する可能性があることを意味します。
セキュリティ研究者マイケル・グロバーマンがこれらの広大なセキュリティギャップを最初に発見し、CISAに報告しました。
重大な脆弱性の詳細
アップデートAとして分類されたCISAアドバイザリーは、初期の2月リリースにいくつかの新しく目録化された欠陥を追加しています。
これらの脆弱性には、CVE-2025-1242、CVE-2025-10681、CVE-2026-28766、およびCVE-2026-32662を含む多数のCVE識別子が含まれます。
欠陥は、2.11.0より前のバージョンのGardynモバイルアプリケーションと2.12.2026より前のバージョンのGardyn Cloud APIに特に影響します。Gardyn Home FirmwareとGardyn Studio Firmwareも影響を受けるコンポーネントとしてリストされています。
これらの脆弱性は、デバイスが認証とデータ転送をどのように処理するかの基本的なセキュリティの失敗から生じています。システムで特定された特定の技術的弱点は次のとおりです:
- 危険なOSコマンドインジェクションにつながる特殊要素の不適切な無効化。
- 機密ユーザー情報とデータの平文での送信。
- システムおよびネットワークアクセスのためのハードコードされたデフォルト認証情報の使用。
- 重要なデバイス機能とクラウドインタラクションの認証チェックの不足。
- ユーザー制御キーの操作を通じて実現される認可バイパス。
- 本番ハードウェア環境で実行中の有効なデバッグコード。
これらの結合された脆弱性は、攻撃者がハードウェアまたはクラウドインフラストラクチャの制御を奪うために事前の認証を必要としない非常に危険なシナリオを作成します。
これらの欠陥の深刻さにもかかわらず、CISAは現在まで野性で報告されたパブリック悪用がないことを指摘しています。
推奨されるセキュリティ対策
食糧・農業部門内でのこれらの脆弱性の重大な性質を考えると、CISAは組織と個人ユーザーが直ちに防御措置を実装することを強く促します。
影響を受けるデバイスは主に米国に配備されているため、この地域のユーザーは特に警戒する必要があります。
CISAは脆弱な環境をセキュアにするために以下の軽減戦略を推奨しています:
- Gardynモバイルアプリケーションをバージョン2.11.0以降に更新して、モバイルアクセス脆弱性にパッチを当てます。
- 制御システムデバイスがインターネットから直接アクセス可能にならないようにしてネットワーク露出を最小化します。
- リモートデバイスと制御システムネットワークを堅牢なファイアウォールの後ろに隔離して、不正なトラフィックをブロックします。
- リモートアクセスが必要な場合、更新された仮想プライベートネットワークなどのセキュアな方法を使用します。
デバイスオーナーは、運用障害を避けるためにこれらのネットワーク変更を実装する前に徹底的なリスク評価を実施する必要があります。
スマートガーデンデバイスにリンクされた疑わしいネットワークアクティビティを観察するユーザーは、直ちに内部インシデント対応手順に従い、さらなる調査のためにCISAに調査結果を報告する必要があります。
翻訳元: https://gbhackers.com/critical-gardyn-flaws-remote-hijacking/
