JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月27日、「JVNVU#91077448: シャープNECディスプレイソリューションズ製プロジェクターにおけるSNMPが有効になっている問題」において、シャープNECディスプレイソリューションズの複数のプロジェクターに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、製品情報を窃取されたり、サービス運用妨害(DoS: Denial of Service)を引き起こされたりする可能性がある。

JVNVU#91077448: シャープNECディスプレイソリューションズ製プロジェクターにおけるSNMPが有効になっている問題

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

プロジェクターにおける脆弱性 | シャープNECディスプレイソリューションズ

脆弱性の情報(CVE)は次のとおり。

CVE-2024-7011 - 文書化されていない機能の脆弱性。攻撃者はデフォルトで有効の簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)に、コミュニティー名「public」にてアクセスできる

○脆弱性が存在する製品

脆弱性が存在する製品は次のとおり。影響を受けるファームウェアバージョンは公開されていない。

NP-P525ULJL

NP-P525WLJL

NP-P605ULJL

NP-MC332WJL

NP-ME372WJL

NP-ME382UJL

NP-ME402XJL

NP-P554UJL

NP-P547ULJL

NP-P627ULJL

NP-PV730UL-BJL

NP-PV730UL-WJL

NP-PV800UL-BJL

NP-PV800UL-WJL

NP-MC393WJL

NP-MC453XJL

NP-ME403UJL

NP-ME423WJL

NP-PE456USLJL

NP-PE506ULJL

NP-PE506WLJL

これら製品一覧は国内向け製品のみだが、海外向け製品にも脆弱性は影響している。影響を受ける海外向け製品の一覧は「Vulnerabilities in projectors | Sharp NEC Display Solutions」から確認することができる。

対象の脆弱性はデフォルトで簡易ネットワーク管理プロトコル(SNMP)を有効化していることに原因がある。しかしながら、管理画面から機能を無効にすることはできず、修正するにはファームウェアをアップデートする必要がある。

シャープNECディスプレイソリューションズは当該製品の管理者に対してカスタマーサポートセンターに問い合わせの上、ファームウェアアップデートを実施するように推奨している。ファームウェアアップデートが困難な場合には、当該製品をインターネットから切り離して運用することを推奨している。