Sicherheitsbenachrichtigung - Command Injection-Schwachstelle in einigen Hikvision-Produkten

Sicherheitsbenachrichtigung - Command Injection-Schwachstelle in einigen Hikvision-Produkten

SN-Nr.: HSRC-202109-01

Bearbeiten: Hikvision Security Response Center (HSRC)

Datum der Erstveröffentlichung: 2021-09-19

Aktualisierte Firmware herunterladen: Benutzer können die Firmware über die Produktseriennummer hier suchen

Zusammenfassung:

Eine Command-Injection-Schwachstelle im Webserver einiger Hikvision-Produkte. Aufgrund der unzureichenden Eingabevalidierung können Angreifer die Schwachstelle ausnutzen, um einen Command Injection Angriff zu starten, indem sie einige Nachrichten mit schädlichen Befehlen senden.

CVE ID:

CVE-2021-36260

Bewertung:

CVSS v3 wird in dieser Schwachstellenbewertung übernommen(http://www.first.org/cvss/specification-document)

Basisbewertung:: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Temporäre Bewertung: 8.8 (E:P/RL:O/RC:C)

Betroffene Versionen und behobene Version:

Ihre Gerätefirmware ist von dieser Sicherheitslücke betroffen (CVE-2021-36260), wenn ihre Version früher als 28.06.2021 datiert ist. Please install the updates immediately. Informationen über betroffene und behobene Versionen:

Produktname

Betroffene Version(en)

DS-2CVxxx1
DS-2CVxxx6

Versionen mit Build-Zeitpunkt vor 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0E(C)

DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0(C)

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versionen mit Build-Zeitpunkt vor 02.07.2021

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

DS-2CD1x23G0 Versions before (not include) V5.5.0 build xxxxxx
DS-2CD2xx1G0
DS-2CD2xx1G1
DS-2CD2x27G1
DS-2CD2x27G3E
DS-2CD4xx6FWD (Non-ANPR)
DS-2CD4xx5G0
DS-2XE6xx5G0
DS-2XE6xx2F
DS-2XM6xx2FWD
DS-2XM6xx2G0
(i)DS-2DExxxx

 

Voraussetzung:

Der Angreifer hat Zugriff auf das Netzwerk des Geräts oder das Gerät hat eine direkte Schnittstelle zum Internet

Angriffs Vorgehensweise:

Senden Sie eine speziell erstellte Nachricht.

Herunterladen einer korrigierten Firmware:

Benutzer sollten die aktualisierte Firmware herunterladen, um sich vor dieser potenziellen Sicherheitslücke zu schützen. Die Firmware ist auf der offiziellen Website von Hikvision erhältlich: Firmware herunterladen Benutzer können auch das Suchtool für wichtige Firmware-Updates verwenden, um kritische Sicherheitslücken schnell zu erkennen und die entsprechende Firmware herunterzuladen.

Quelle der Informationen zur Schwachstelle:

Diese Sicherheitslücke wurde dem HSRC vom britischen Sicherheitsforscher Watchful IP gemeldet.

Kontaktieren Sie uns:

Sollten Sie ein Sicherheitsproblem oder ein Anliegen haben, wenden Sie sich bitte an das Hikvision Security Response Center unter hsrc@hikvision.com.

 

2021-09-19 V1.0 INITIAL

2021-09-23 V1.1 UPDATED: Updated Affected Versions

2021-09-24 V1.2 UPDATED: Updated Affected Versions

2021-11-08 V1.3 UPDATED: Updated Affected Versions

2021-12-31 V1.4 UPDATED: Updated Affected Versions

How-to Documents

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.

Kontakt
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.