Actualización sobre el aviso de vulnerabilidad de escalada de privilegios-HQ

Estimados clientes y socios:

Hikvision tiene el honor de trabajar con el Centro Nacional de Integración de Comunicaciones y Seguridad Cibernética del Departamento de Seguridad Nacional de los EE. UU. en nuestros esfuerzos continuos de mejores prácticas de seguridad cibernética.

Nos complace anunciar que el ISC-CERT (Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial) ha reconocido el progreso exitoso de Hikvision en una vulnerabilidad de escalada de privilegios. Específicamente, ISC-CERT ha reconocido que el 13 de marzo de 2017, Hikvision lanzó la versión de firmware fija 5.4.41/5.4.71 para abordar la vulnerabilidad de escalada de privilegios del usuario en los modelos de cámara afectados en particular.

¿Qué necesitan saber los clientes sobre la vulnerabilidad de escalada de privilegios? ¿Qué pasos deben tomar los clientes para mejorar la ciberseguridad de los sistemas de Hikvision?

Revise el aviso del 13 de marzo de 2017, que describe los posibles problemas de seguridad cibernética que podrían surgir con cámaras específicas en determinadas circunstancias poco comunes. Hasta la fecha, Hikvision no tiene conocimiento de ningún informe de actividad maliciosa asociada con esta vulnerabilidad. ·Hikvision siempre recomienda un enfoque sistemático de varios pasos para mejorar la protección de la ciberseguridad. Para ayudar a los clientes y socios, Hikvision ofrece una serie de recursos de ciberseguridad líderes en la industria. Visite el Centro de seguridad de Hikvision para obtener más información.

La Guía de fortalecimiento de la seguridad de la red de Hikvision es un nuevo recurso para los instaladores.

Hikvision también alienta a los clientes a utilizar los recursos de ICS-CERT, incluidas las prácticas recomendadas de ISC-CERT y la defensa en profundidad de ISC-CERT.

¿ISC-CERT recomendó mejoras adicionales en futuras actualizaciones de firmware?
ISC-CERT identificó específicamente el área de posible preocupación sobre el "archivo de configuración".
¿Bajo qué circunstancias existe un problema con el archivo de configuración? ¿Cómo abordará Hikvision esta preocupación?

El archivo de configuración está encriptado y, por lo tanto, no se puede leer y protege las credenciales de los usuarios. Además, el archivo de configuración solo puede ser exportado por la cuenta de administrador. Hikvision agradece el comentario de ICS-CERT y mejorará el método de almacenamiento de descifrado de clave privada en la próxima versión de firmware.

Hikvision se enorgullece de estar a la vanguardia del movimiento para mejorar las mejores prácticas de ciberseguridad en nuestra industria. La ciberseguridad debe ser una prioridad durante todo el ciclo de vida del producto, desde la I+D y la fabricación hasta la instalación y el mantenimiento. Los expertos internos en ciberseguridad de Hikvision se dedican a evaluar y mejorar constantemente nuestros productos y nuestros procesos, y el equipo de Hikvision brinda educación y soporte en ciberseguridad líderes en el mercado a nuestros valiosos clientes. También participamos activamente con nuestros competidores y socios en esfuerzos colaborativos de seguridad cibernética que benefician a toda nuestra industria.

La interoperabilidad es clave para el éxito de la tecnología de video IP. Si bien es emocionante ver multiplicarse el ecosistema de dispositivos de videovigilancia, esto también aumenta nuestros desafíos de ciberseguridad. El establecimiento de estándares de interoperabilidad para la videovigilancia debe ser una prioridad máxima y que todos en la industria de la vigilancia deben compartir.

Si tiene alguna pregunta o inquietud acerca de los productos de Hikvision, comuníquese con la sucursal o los representantes de Hikvision o consúltenos en el correo electrónico worldwidebusiness@hikvision.com. Para inquietudes técnicas, puede comunicarse con support@hikvision.com.