Question : Qu'est-ce que la vulnérabilité d'injection de commande ?
Réponse : Comme indiqué dans la notification de sécurité officielle HSRC-202109-01 de Hikvision, une vulnérabilité d'injection de commande a été trouvée sur le serveur Web de certains produits Hikvision. En raison d'une validation d'entrée insuffisante, un attaquant pourrait potentiellement exploiter la vulnérabilité pour lancer une attaque par injection de commande en envoyant un message spécialement conçu avec des commandes malveillantes.
Question : Où puis-je obtenir plus d'informations ?
Réponse : • Notification de sécurité Hikvision La société a publié une notification de sécurité sur le site Web de la société le 18 septembre et publiée sur ses comptes de réseaux sociaux le 19 septembre.
• Rapport de divulgation du chercheur en sécurité
Question : Est-ce une porte dérobée du gouvernement chinois ?
Réponse : Non. Hikvision n'a pas de portes dérobées gouvernementales dans ses produits. Watchful_IP, le chercheur en sécurité qui a signalé de manière responsable cette vulnérabilité à Hikvision, a déclaré : « Non, certainement PAS. Vous ne le feriez pas comme ça. Et tous les types de firmware ne sont pas concernés.
Question : Qu'a fait Hikvision pour faire face à la vulnérabilité ?
Réponse : Hikvision suit les principes de divulgation responsable et le processus standard de divulgation coordonnée des vulnérabilités qui est largement accepté dans les industries mondiales et concerne les mécanismes par lesquels les vulnérabilités sont partagées et divulguées de manière contrôlée afin de protéger au mieux les propriétaires et les utilisateurs finaux des logiciels.
Le 23 juin 2021, Hikvision a été contacté par un chercheur en sécurité, nommé Watchful IP, qui a signalé une vulnérabilité potentielle dans une caméra Hikvision. Une fois que nous avons confirmé la réception de ce rapport, Hikvision a travaillé directement avec le chercheur pour corriger et vérifier l'atténuation réussie de la vulnérabilité signalée.
Comme le chercheur l'a noté dans son rapport de divulgation, il était « heureux de constater que ce problème a été résolu de la manière recommandée ».
Après que la société et le chercheur se soient tous deux assurés que la vulnérabilité avait été correctement corrigée par le micrologiciel mis à jour, nous avons publié la notification de sécurité sur le site Web de la société et sur les réseaux sociaux le 19 septembre.
Question : Quelle est la recommandation de l'entreprise concernant la « redirection de port » ?
Réponse : Un blog de l'industrie a inclus les informations trompeuses concernant la recommandation de l'entreprise sur la « redirection de port » dans son récent article. Veuillez noter que, selon la directive de l'entreprise "À propos de la redirection de port", Hikvision met en garde ses utilisateurs finaux contre la redirection de port et conseille que "la redirection de port ne doit être configurée qu'en cas d'absolue nécessité".
Lorsque les utilisateurs finaux choisissent affirmativement de configurer la redirection de port pour les appareils qui doivent être accessibles via Internet, Hikvision prend en charge les meilleures pratiques de cybersécurité suivantes : (1) « réduire les numéros de port exposés à Internet », (2) « éviter les ports communs et reconfigurez-les en ports personnalisés » ; et "activer le filtrage IP.", (3) définir un mot de passe fort et (4) mettre à niveau vers le dernier micrologiciel de l'appareil publié par Hikvision en temps opportun.
Question : Comment évaluer les risques de mes appareils Hikvision ?
Réponse : Pour exploiter cette vulnérabilité, un attaquant doit se trouver sur le même réseau que l'appareil vulnérable. En d'autres termes, si l'attaquant est capable d'afficher l'écran de connexion d'un appareil vulnérable, il pourrait l'attaquer. S'ils ne peuvent pas accéder à l'écran de connexion d'un appareil vulnérable, ils ne sont pas en mesure d'exploiter la vulnérabilité.
Pour évaluer le niveau de risque d'un appareil vulnérable, vérifiez si le modèle affecté expose ses serveurs http/https (généralement 80/443) directement à Internet (WAN), ce qui donnerait à un attaquant potentiel la possibilité d'attaquer cet appareil depuis Internet. . Ci-dessous quelques exemples :
① Réseau LAN sans accès Internet (faible risque)
Un attaquant potentiel ne peut pas accéder au serveur Web de l'appareil depuis Internet, donc le risque est faible (l'attaquant doit avoir un accès LAN pour exploiter cette vulnérabilité, c'est ce que nous entendons par faible risque)