Source: https://www.securityweek.com/no-patch-for-flaw-exposing-hundreds-of-lg-cameras-to-remote-hacking/
🛡 概要
最近発見された脆弱性により、LGのセキュリティカメラがリモートハッキングの危険にさらされています。具体的には、LG Innotek製のLNV5110Rカメラが影響を受けており、認証バイパスの脆弱性が存在します。この脆弱性により、攻撃者はデバイスに対して管理者アクセスを持つことが可能になります。CISAによると、この問題はCVE-2025-7742として追跡されており、高い深刻度が付けられています。残念ながら、LG Innotekはこの製品が寿命を迎えたため、パッチを提供できないとしています。
🔍 技術詳細
CVE-2025-7742は、HTTP POSTリクエストをデバイスの不揮発性ストレージにアップロード可能にする脆弱性です。この脆弱性を悪用されると、リモートコード実行が可能となり、攻撃者は管理者権限を取得し、任意のLinuxコマンドを実行できるようになります。具体的には、攻撃者はログインなしでリバースシェルをアップロードし、内部ネットワークへの侵入を試みることができます。CISAは、この脆弱性が商業施設や重要インフラストラクチャの分野で広く使用されている製品に影響を与えると警告しています。
⚠ 影響
約1,300台のLGカメラがインターネットに接続されており、これらはリモートハッキングの危険にさらされています。攻撃者はこの脆弱性を利用して、ライブストリームにアクセスしたり、カメラを妨害したり、その他の悪意のある活動を行うことが可能です。MicroSecの研究者であるスーヴィク・カンダー氏は、これが完全に認証されていないリモートコード実行の脆弱性であると説明しています。CISAは、この問題が広範囲に影響を及ぼすことを懸念しており、特に商業や公共の安全に関わる施設での使用が多いとしています。
🛠 対策
LGカメラのユーザーは、リモートアクセスを無効にするなどの対策を講じる必要があります。具体的には、カメラの設定を見直し、インターネットへの接続を制限することが推奨されます。また、ネットワーク内でのセキュリティを強化し、不審な活動を監視することも重要です。今後、LG Innotekが新しい製品を展開する際には、セキュリティ対策を強化することが期待されます。脆弱性のある製品を使用している場合は、早急に代替品への移行を検討することも一つの手です。
