France - FR
X

Vulnérabilité de sécurité dans certains produits Hikvision

 

    Vulnérabilité de sécurité dans certains produits Hikvision

    SN No. HSRC-202311-03

     

    Edit :  Centre de réponse de sécurité Hikvision (HSRC)

     

    Date de publication initiale: 23/11/2023

     

    résumé

    Certains produits Hikvision ont été affectés par une vulnérabilité de contournement d'authentification dans le module Hik-Connect, qui pourrait permettre à des attaquants distants de consommer des services en envoyant des messages élaborés aux dispositifs affectés.

     

    ID CVE

    CVE-2023-48121

     

    Notation

    La norme CVSS v3.1 est adoptée pour l'évaluation des vulnérabilités.

     

    (http://www.first.org/cvss/specification-document)

     

    Notation de base : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

     

    Versions affectées

    No

    Nom du produit

    Versions affectées

    1

    DS-2CV1xxx

    date de construction avant 231108

    2

    DS-2CV2xxx

    date de construction avant231108

    3

    DS-2CD1xxx

    date de construction avant 230614

    4

    DS-2CD2xx1

    DS-2CD2xx3

    DS-2CD2xx6

    DS-2CD2xx7

    date de construction avant 230630
    5 DS-2CD2xx2
    DS-2CD2xx0

    date de construction avant 231110

    6

    DS-2CD2xxx-W

    date de construction avant 230831

    7

    DS-2CD3xxx

    date de construction avant 210429

    8

    HWI-xxxx

    date de construction avant 231108

    9

    IPC-xxx

    date de construction avant 230614

    10

    DS-2DE4xxx

    date de construction avant 230519

    11

    DS-2DE2Axx

    date de construction avant 230612

    12

    iDS-EXXHUH
    DS-EXXHGH
    iDS-EXXHQH
    DVR-EXXHUH

    date de construction avant 230825 

    13

    iDS-72XXHQH-M(C)
    iDS-72XXHUH-M(C)
    iDS-72XXHQH-M(E)
    iDS-72XXHUH-M(E)
    iDS-72XXHTH-M(C)
    HW-HWD-72XXMH-G4
    HW-HWD-62XXMH-G4
    HL-DVR-216Q-K2(E)

    date de construction avant 230823

    14

    DS-71XXHGH-M(C)
    DS-72XXHGH-M(C)
    DS-71XXHGH-K(S)
    DS-72XXHGH-K(S)
    HL-DVR-1XXG-K(S)
    HL-DVR-2XXG-K(S)
    HL-DVR-1XXG-M(C)
    HL-DVR-2XXG-M(C)
    HW-HWD-51XXH(S)
    HW-HWD-51XXH-G
    HW-HWD-51XXMH-G
    iDS-71xxHQH-M(C)
    iDS-71xxHQH-M(E)
    iDS-72xxHQH-M/E(C)
    iDS-72xxHQH-M/E(E)
    HL-DVR-2XXQ-M(C)
    HL-DVR-2XXQ-M(E)
    HW-HWD-61XXMH-G4
    HW-HWD-61XXMH-G4(E)
    iDS-71xxHUH-M(C)
    iDS-72xxHUH-M/E(C)
    iDS-71xxHUH-M(E)
    iDS-72xxHUH-M/E(E)
    HL-DVR-2XXU-M(C)
    HL-DVR-2XXU-M(E)
    HW-HWD-71XXMH-G4
    HW-HWD-71XXMH-G4(E)

    date de construction avant 230913

    15

    DS-76xxNI-Q1(/xP)(D)
    DS-76xxNI-Q2(/xP)(D)
    DS-77xxNI-Q4(/xP)(D)
    DS-76xxNXI-K1(/xP)(B)
    NVR-2xx(M)H(-xP)-C(D)
    NVR-1xx(M)H(-xP)-C(D)
    HW-HWN-42xx(M)H(-xP)(D)
    HW-HWN-41xx(M)H(-xP)(D)

    date de construction avant 230620

    16

    DS-71xxNI-Q1(/xP)(/M)(D)
    DS-76xxNI-Q1(C)
    DS-76xxNI-Q2(C)
    DS-76xxNI-K1(C)
    HL-NVR-1xx(M)H-D(D)
    HW-HWN-21xx(M)H(-xP)(D)
    HW-HWN-41xxMH(C)
    HW-HWN-42xxMH(C)
    HL-NVR-1xxMH-C(C)
    HL-NVR-2xxMH-C(C)

    date de construction avant 230707

    17

    DS-76xxNI-K2
    DS-77xxNI-K4

    date de construction avant 230712

    18

    HL-NVR-EXXMH-D/4P(SSD 1T)
    HL-NVR-EXXMH-D/4P(SSD 2T)
    DS-EXXNI-Q1(SSD 1T)
    DS-EXXNI-Q1(SSD 2T)

    date de construction avant 230925

     

     

    Condition préalable

    L'attaquant dispose d'un accès réseau à l'appareil.

     

    Étape d'attaque

    Envoyer un message malveillant spécialement conçu.

     

    Obtenir une version corrigée

    Les utilisateurs peuvent télécharger le correctif sur le site officiel de Hikvision.

     

    Source des informations sur la vulnérabilité

    La vulnérabilité a été signalée à l'équipe de sécurité d'EZVIZ par Joern (@joerngermany).
     

    Contactez-nous

    Pour signaler tout problème de sécurité ou toute vulnérabilité des produits et solutions Hikvision, veuillez contacter le Hikvision Security Response Center à l'adresse hsrc@hikvision.com.

     

    Hikvision souhaite remercier tous les chercheurs en sécurité pour l'attention qu'ils portent à ses produits.

     

    Cet avis de sécurité est publié et mis à jour en fonction des résultats de l'enquête menée par Hikvision et est susceptible d'être modifié.

     

    2023-11-23 V1.0 INITIAL

    2023-11-29 V1.1 UPDATED: Versions affectées mises à jour

    2023-12-04 V1.2 UPDATED: Versions affectées mises à jour

    Votre consentement aux cookies

    Hikvision.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.

    Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.

    Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.

    Gérer les cookies Rejeter tout Accepter
    Accepter
    Rejeter tout Gérer les cookies
    Contacts
    Commercial
    Assistance Technique
    S'abonner à la Newsletter
    Service en ligne
    Where to Buy
    Website Feedback
    Contactez-Nous
    Hik-Partner Pro close
    Hik-Partner Pro
    Security Business Assistant. At Your Fingertips. Learn more
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.