Mise à jour sur l'avis de vulnérabilité croissant de privilège - HQ

Chers clients et partenaires,

Hikvision est honoré de travailler avec le centre national d'intégration de la cybersécurité et des communications du département américain de la Sécurité intérieure dans le cadre de nos efforts continus en matière de meilleures pratiques en matière de cybersécurité.

Nous sommes heureux d’annoncer que les progrès accomplis par Hikvision sur une vulnérabilité d’escalade de privilèges ont été reconnus par ISC-CERT (Industrial Control Systems Cyber Emergency Response Team). Plus précisément, ISC-CERT a reconnu que le 13 mars 2017, Hikvision a publié la version de micrologiciel fixe 5.4.41 / 5.4.71 pour remédier à la vulnérabilité d'augmentation des privilèges de l'utilisateur sur les modèles de caméras concernés.

Que doivent savoir les clients sur la vulnérabilité de l'élévation des privilèges ? Quelles mesures les clients doivent-ils prendre pour améliorer la cybersécurité des systèmes Hikvision ?

·Veuillez consulter l'avis du 13 mars 2017, qui décrit les problèmes de cybersécurité potentiels qui pourraient survenir avec des caméras spécifiques dans certaines circonstances assez rares. À ce jour, Hikvision n'a connaissance d'aucun rapport d'activité malveillante associé à cette vulnérabilité. ·Hikvision recommande toujours une approche systématique en plusieurs étapes pour améliorer la protection contre la cybersécurité. Pour aider ses clients et partenaires, Hikvision propose un certain nombre de ressources de cybersécurité de pointe. Veuillez visiter le centre de sécurité Hikvision pour plus d'informations.

·Le Guide de renforcement de la sécurité réseau Hikvision est une nouvelle ressource pour les installateurs.

·Hikvision encourage également ses clients à utiliser les ressources ICS-CERT, y comprisles pratiques recommandées par l'ISC-CERT et la défense en profondeur de l'ISC-CERT.

ISC-CERT a-t-il recommandé des améliorations supplémentaires dans les futures mises à niveau du firmware ?

·ISC-CERT a spécifiquement identifié la zone de préoccupation potentielle concernant le « fichier de configuration ».

Dans quelles circonstances y a-t-il un problème avec le fichier de configuration ? Comment Hikvision répondra-t-il à cela ?

·Le fichier de configuration est chiffré et n'est donc pas lisible et protège les informations d'identification des utilisateurs. De plus, le fichier de configuration ne peut être exporté que par le compte administrateur. Hikvision apprécie le commentaire d'ICS-CERT et améliorera la méthode de stockage de décryptage de clé privée dans la prochaine version du micrologiciel.

Hikvision est fier d'être à l'avant-garde du mouvement visant à améliorer les meilleures pratiques de cybersécurité dans notre secteur. La cybersécurité doit être une priorité tout au long du cycle de vie du produit, de la R&D et de la fabrication à l'installation et à la maintenance. Les experts internes en cybersécurité de Hikvision se consacrent à évaluer et à améliorer constamment nos produits et nos processus, et l'équipe Hikvision fournit une formation et un soutien de pointe en matière de cybersécurité à nos précieux clients. Nous sommes également activement engagés avec nos concurrents et partenaires dans des efforts de cybersécurité collaboratifs qui profitent à l'ensemble de notre secteur.

L'interopérabilité est la clé du succès de la technologie vidéo IP. S'il est passionnant de voir se multiplier l'écosystème des appareils de vidéosurveillance, cela augmente également nos défis en matière de cybersécurité. L'établissement de normes d'interopérabilité pour la vidéosurveillance devrait être une priorité absolue et que tout le monde dans l'industrie de la surveillance doit partager.

Si vous avez des questions ou des préoccupations concernant les produits Hikvision, veuillez contacter la succursale Hikvision, les représentants ou nous consulter à l’adresse overseasbusiness@hikvision.com. Pour des problèmes techniques, vous pouvez contacter support@hikvision.com.