| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.1 | $0-$5k | 0.00 |
要約
現在、Sony Smart TVにて、問題があると分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Photo Sharing Plus】の未知の関数です。 未知の値で改ざんすることが、 情報漏えいを突く攻撃 「Credentials」に繋がります}。 この脆弱性はCVE-2019-11336として知られています。 攻撃はリモートで開始される可能性が高いです。 さらに、悪用手段が存在します。 該当するコンポーネントの無効化を推奨します。
詳細
現在、Sony Smart TVにて、問題があると分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Photo Sharing Plus】の未知の関数です。 未知の値で改ざんすることが、 情報漏えいを突く攻撃 「Credentials」に繋がります}。 CWEを使用して問題を宣言すると、CWE-532 につながります。 このバグは 2018年10月03日に発見されました。 この脆弱性は 2019年04月23日に xen1thLabsの HackerOne経由「Bugtraq」の Mailinglist Postにて 「Multiple vulnerabilities in Sony Smart TVs」として 紹介されました。 アドバイザリーは seclists.org で共有されています。 一般公開はベンダーと調整されました。
この脆弱性はCVE-2019-11336として知られています。 CVEの割当は2019年04月18日で行われました。 攻撃はリモートで開始される可能性が高いです。 技術的な情報は提供されていません。 この脆弱性の普及度は平均未満です。 さらに、悪用手段が存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1592 と定義しています。
このエクスプロイトツールは 概念実証 として宣言されています。 エクスプロイトツールは seclists.org からダウンロードできます。 脆弱性は、少なくとも 202 日の間、非公開の0day攻撃ツールとして扱われました。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。 エクスプロイトのソースコードは以下です:
root@kali:~# wget -qO- --post-data='{"id":80,"method":"getContentShareServerInfo","params":[],"version":"1.0"}'
http://[ip_tv]:10000/contentshare/
{"result":[{"ssid":"DIRECT-GD-BRAVIA","keyType":"","key":"8362tbwX","deviceName":"","url":"http:\/\/192.168.49.1","touchPadRemote":"notSupported"}],"id":80}
該当するコンポーネントの無効化を推奨します。 アドバイザリには次の注記が含まれています:
Sony confirms the vulnerabilities affects some models and "Sony plans to terminate Photo Sharing Plus service for all of models, and that completion date is scheduled for April 12th, 2019."
製品
タイプ
ベンダー
名前
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.2VulDB 一時的なメタスコア: 6.1
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.9
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
調査者 ベーススコア: 5.3
調査者 ベクトル: 🔍
NVD ベーススコア: 8.1
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
名前: Credentialsクラス: 情報漏えい / Credentials
CWE: CWE-532 / CWE-200 / CWE-284
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 無効化ステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2018年10月03日 🔍2018年10月10日 🔍
2018年10月12日 🔍
2019年04月18日 🔍
2019年04月23日 🔍
2019年04月23日 🔍
2019年04月29日 🔍
2024年06月13日 🔍
ソース
勧告: Multiple vulnerabilities in Sony Smart TVs組織: xen1thLabs
ステータス: 確認済み
調整済み: 🔍
CVE: CVE-2019-11336 (🔍)
GCVE (CVE): GCVE-0-2019-11336
GCVE (VulDB): GCVE-100-134183
SecurityFocus: 108072
scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2019年04月29日 09:24更新済み: 2024年06月13日 08:48
変更: 2019年04月29日 09:24 (81), 2020年06月04日 15:13 (1), 2023年09月07日 21:58 (5), 2024年06月13日 08:48 (14)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。