פגיעות אבטחה בחלק ממוצרי בקרת כניסה/אינטרקום של Hikvision

SN מס. HSRC-202306-01

עריכה: Hikvision Security Response Center (HSRC)

תאריך יציאה ראשוני: 2023-06-14

סיכום:

לחלק ממוצרי בקרת הכניסה/אינטרקום של Hikvision יש את פרצות האבטחה הבאות:

(1) חלק ממוצרי בקרת הכניסה חשופים להתקפת חטיפת הפעלה מכיוון שהמוצר לא מעדכן את מזהה ההפעלה לאחר שמשתמש נכנס בהצלחה. כדי לנצל את הפגיעות, התוקפים צריכים לבקש את מזהה ההפעלה בו-זמנית עם משתמש חוקי מתחבר, ומקבל הרשאות הפעלה של המכשיר על ידי זיוף ה-IP ומזהה ההפעלה של משתמש מאומת.

(2) לחלק ממוצרי בקרת כניסה/אינטרקום יש שינוי לא מורשה של פגיעויות של תצורת רשת המכשירים. תוקפים יכולים לשנות את תצורת הרשת של המכשיר על ידי שליחת מנות נתונים ספציפיות לממשק הפגיע בתוך אותה רשת מקומית.

CVE ID：

CVE-2023-28809

CVE-2023-28810

ציון

CVSS v3 קיים בניקוד פגיעות זה.

(http://www.first.org/cvss/specification-document)

CVE-2023-28809

ציון בסיס: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

ציון זמני: 6.7 (/E:P/RL:O/RC:C)

CVE-2023-28810

ציון בסיס: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

ציון זמני: 3.9 (E:P/RL:O/RC:C)

גרסאות ותיקונים מושפעים：

שם מוצר	מושפע Vuls	גרסאות מושפעות
DS-K1T804AXX	CVE-2023-28809 & CVE-2023-28810	Versions below V1.4.0_build221212 (including V1.4.0_build221212)
DS-K1T341AXX		Versions below V3.2.30_build221223 (including V3.2.30_build221223)
DS-K1T671XXX		Versions below V3.2.30_build221223 (including V3.2.30_build221223)
DS-K1T343XXX		Versions below V3.14.0_build230117 (including V3.14.0_build230117)
DS-K1T341C		Versions below V3.3.8_build230112 (including V3.3.8_build230112)
DS-K1T320XXX		Versions below V3.5.0_build220706 (including V3.5.0_build220706)
DS-KH63 Series DS-KH85 Series	CVE-2023-28810	Versions below V2.2.8_build230219 (including V2.2.8_build230219)
DS-KH62 Series		Versions below V1.4.62_build220414 (including V1.4.62_build220414)
DS-KH9310-WTE1(B) DS-KH9510-WTE1(B)		Versions below V2.1.76_build230204 (including V2.1.76_build230204)

השגת גרסאות קבועות

משתמשים יכולים להוריד כאן תיקונים/עדכונים כדי לצמצם את הפגיעויות הללו.

מקור מידע על פגיעות:

נקודות תורפה אלו דווחו ל-HSRC על ידי אנדרס Hinnosaar בתמיכת NATO CCDCOE ו-Peter Szot מ-Skylight Cyber.

צרו קשר

כדי לדווח על בעיות אבטחה או פגיעות במוצרים ובפתרונות של Hikvision, אנא צרו קשר עם מרכז התגובה האבטחה של Hikvision בכתובת hsrc@hikvision.com.

Hikvision רוצה להודות לכל חוקרי האבטחה שעוזרים לזהות ולצמצם נקודות תורפה פוטנציאליות במוצרים שלנו כדי להבטיח שהפתרונות שלנו מגנים על אנשים, מקומות ונכסים תוך שמירה על נתוני המשתמש.