■ 概要

顔認証手首温度測定システム OET-213H-BTS1に認証回避の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、情報の漏えい、サービス提供の停止などの影響を受ける危険性があります。
この問題の影響を回避するため、以下に提示する対策を実施してください。

■ 該当製品の確認方法

影響を受ける製品は、日本国内で販売された以下の製品です。
製品名称：OET-213H-BTS1
該当バージョン：全てのバージョン

■ 脆弱性の説明

OET-213H-BTS1は、ネットワークを介してPC等と連携動作するためのインターフェイスとしてAPIが用意されています。
OET-213H-BTS1は、初期設定では認証なしでAPIの実行が可能であるため、認証情報を持たない第三者からネットワークを介してAPIを実行される脆弱性が存在します。

■ 脆弱性がもたらす脅威

悪意のある第三者がOET-213H-BTS1のAPI仕様を把握しているとき、設定データーの参照ならびに変更、システムログや機器の動作情報の参照、検温データーの参照、ファームウェアの書き換え、機器の再起動など、OET-213H-BTS1を任意に操作される可能性があります。

■ 対策方法

OET-213H-BTS1を利用されているお客様は、以下の手順書に従いセキュリティ設定の変更を実施してください。
対象製品名称：OET-213H-BTS1
手順書のダウンロード（OET-213H-BTS1セキュリティ設定変更手順.pdf）

■ 関連情報

JVN#77203800 OET-213H-BTS1における不適切な初期設定

■ 更新履歴

2024年 02月29日 この脆弱性情報ページを公開しました。