主要脆弱性情報 脆弱性概要 CVE ID: CVE-2025-65856 深刻度: CRITICAL CVSS v3.1 評価: 9.8 CVSS ベクトル: 影響製品 ベンダー: Hangzhou Xiongmai Technology Co., Ltd. 製品: Xiongmai XM530 シリーズ IP カメラ ブランド名: ANBIUX(および数百社の OEM 再ブランド製品) ファームウェアバージョン: V5.00.R02.000807D8.10010.346624.S、ONVIF 21.06、および V5.00.R02. シリーズのすべてのバージョン 脆弱性情報 ONVIF Web サービス実装において、ONVIF 仕様に従って認証が必要とされる 31 の重要なエンドポイントに対して認証が実施されていない。 技術詳細: 1. WS-Security 認証の欠如 (CWE-306) 2. 影響を受けるエンドポイント(一覧の一部): - GetDeviceInformation - ハードウェア/ファームウェア詳細 - GetUsers - ユーザーアカウント情報 - GetStreamUri - 認証情報を伴う RTSP ストリーム URI - GetSnapshotUri - スチルイメージの URI - GetNetworkInterfaces - ネットワーク構成 - GetNetworkProtocols - 有効化されているサービス/ポート - GetDNS / GetNTP - DNS および NTP 構成 - GetPresets / GetNodes - PTZ(パン/チルト/ズーム)構成 - SetRelayOutputState - リレー出力(アラーム)の制御 - その他 22 の重要なエンドポイント 3. 攻撃面: 一般的なポート 80、8000、8080、8899 影響 認証されないリモート攻撃者は以下が可能: - 映像および音声ストリームのリアルタイムアクセス - 完全なデバイス構成へのアクセス - ユーザーアカウントおよび認証情報の列挙 - PTZ(パン/チルト/ズーム)機能の制御 - リレー出力(アラームシステム)の操作 - ネットワーク偵察 - RTSP 認証情報の抽出 プライバシーへの影響: GDPR およびプライバシー規制の直接的な違反。大規模な監視オペレーションを可能にする。 緩和策 ユーザー向け(即時対応): - ネットワーク分離: カメラをインターネット接続のない分離 VLAN に配置する - ファイアウォールルール: ポート 80、8000、8080、8899 への着信接続をブロックする - ONVIF の無効化: カメラの設定を確認し、ONVIF プロトコルを無効にする - VPN でのアクセスのみ許可: カメラをインターネットに直接公開してはならない - 交換を検討する: ベンダーのセキュリティ履歴を考慮し、交換を推奨 ベンダー向け**: - すべての ONVIF エンドポイントに適切な WS-Security 認証を実装する - ONVIF コア仕様のセキュリティ要件に従う - レート制限およびブルートフォース攻撃対策を追加する - セキュリティログ記録およびアラートを有効にする 現在、修正パッチは利用できません。 タイムライン 2025 年 11 月: セキュリティ評価中に脆弱性が発見される 2025 年 12 月 16 日: MITRE により CVE-2025-65856 が割り当てられる 2025 年 12 月 17 日: XMSRC@xiongmaitech.com を通じてベンダーに連絡を試みる(メール送信失敗 - サーバー設定エラー) 2025 年 12 月 17 日: oversea_sales@xiongmaitech.com を通じて代替連絡先を試みる(メール送信失敗) 2025 年 12 月 17 日: 公開開示 ベンダーからの回答: 応答なし。公式セキュリティ連絡インフラストラクチャが機能していない。