Czech - Česky
X

Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

 

    Zranitelnost zabezpečení v některých produktech řízení přístupu/interkomu společnosti Hikvision

    SN č. HSRC-202306-01

    Edit: HSRC (centrum bezpečnostní odpovědnosti Hikvision):

    Datum prvního vydání: 14.06.2023

     

    Shrnutí:

    Některé produkty společnosti Hikvision pro řízení přístupu/intercomu mají následující bezpečnostní chyby:

    (1) Některé produkty pro řízení přístupu jsou zranitelné vůči útoku typu session hijacking, protože produkt neaktualizuje ID relace po úspěšném přihlášení uživatele. Pro zneužití zranitelnosti musí útočníci požádat o ID relace ve stejnou dobu, kdy se přihlašuje platný uživatel, a získat oprávnění k provozu zařízení zfalšováním IP adresy a ID relace ověřeného uživatele.

     

    (2) Některé produkty řízení přístupu/interkomu mají zranitelná místa pro neoprávněnou modifikaci síťové konfigurace zařízení. Útočníci mohou změnit konfiguraci sítě zařízení odesláním specifických datových paketů na zranitelné rozhraní v rámci stejné místní sítě.

     

    CVE ID:

    CVE-2023-28809 

    CVE-2023-28810

     

    Bodování

    V tomto bodování zranitelností je použita verze CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Základní skóre: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Časové skóre: 6.7 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Základní skóre: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Časové skóre: 3.9 (E:P/RL:O/RC:C)

     

    Napadené verze a opravy:

    Název produktu Napadené Vuls Napadené verze

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Verze nižší než V1.4.0_build221212 (včetně V1.4.0_build221212)

    DS-K1T341AXX

    Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

    DS-K1T671XXX

    Verze nižší než V3.2.30_build221223 (včetně V3.2.30_build221223)

    DS-K1T343XXX

    Verze nižší než V3.14.0_build230117 (včetně V3.14.0_build230117)

    DS-K1T341C

    Verze nižší než V3.3.8_build230112 (včetně V3.3.8_build230112)

    DS-K1T320XXX

    Verze nižší než V3.5.0_build220706 (včetně V3.5.0_build220706)

    Řada DS-KH63
    Řada DS-KH85

    CVE-2023-28810

    Verze nižší než V2.2.8_build230219 (včetně V2.2.8_build230219)
    Řada DS-KH62 Verze nižší než V1.4.62_build220414 (včetně V1.4.62_build220414)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Verze nižší než V2.1.76_build230204 (včetně V2.1.76_build230204)

    Získání opravených verzí

    Uživatelé si zde mohou stáhnout záplaty/aktualizace , které tyto zranitelnosti zmírňují.

     

    Zdroj informací o zranitelnosti:

    Tyto zranitelnosti nahlásil HSRC Andres Hinnosaar s podporou NATO CCDCOE a Peter Szot ze Skylight Cyber.

     

    Kontaktujte nás

    Chcete-li nahlásit jakékoli bezpečnostní problémy nebo zranitelnosti v produktech a řešeních společnosti Hikvision, obraťte se na centrum bezpečnostní odpovědnosti Hikvision na adrese hsrc@hikvision.com.

     

    Společnost Hikvision by ráda poděkovala všem bezpečnostním výzkumníkům, kteří pomáhají identifikovat a zmírňovat potenciální zranitelnosti v našich produktech, aby zajistili, že naše řešení chrání lidi, místa a majetek a zároveň jsou chráněna data uživatelů.

    Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.

    Manage Cookies Reject all Accept
    Accept
    Reject all Manage Cookies
    Prodej
    Technická podpora
    Odběr newsletteru
    Online podpora
    Kde nakupovat
    Jiné
    Kontakt
    Hik-Partner Pro close
    Hik-Partner Pro
    Security Business Assistant. At Your Fingertips. Learn more
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.