セキュリティ強化に関するお知らせ——一部のHikvision製品におけるコマンドインジェクションの脆弱性

SN No.: HSRC-202109-01

編集者: Hikvision Security Response Center (HSRC)

最初のリリース日: 2021-09-19

概要:

Hikvisionの公式HSRC-202109-01セキュリティ通知に記載されている通り、一部のHikvision製品のWebサーバーにコマンド・インジェクションの脆弱性が発見されました。入力検証が不十分なため、攻撃者はこの脆弱性を利用して、悪意のあるコマンドを含む特別に作成したメッセージを送信することにより、コマンド・インジェクション攻撃を行う可能性があります。

CVE ID:

CVE-2021-36260

基本値:

この評価基準にはCVSSv3が採用されています(http://www.first.org/cvss/specification-document)

基本値: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

現状値 : 8.8 (E:P/RL:O/RC:C)

対象製品/対象バージョンの情報:

以下は日本で販売され、影響を受ける製品です。全部の影響された対象製品については、グローバルの公式サイトにて確認してください。

対象製品

対象バージョン

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

Versions which Build time before 210625

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

(i)DS-2DExxxx

DS-76xxNI-K1xx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versions which Build time before 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

前提条件:

攻撃者がデバイスのネットワークにアクセスしているか、デバイスがインターネットと直接つながっていることになります

攻撃ステップ:

細工されたメッセージを送信します。

修復のファームウェアの入手:

ユーザーは、この潜在的な脆弱性を防ぐために、更新されたファームウェアをダウンロードする必要があります。お手数ですが、 Hikvisionのグローバルホームページでダウンロードしてください:

ファームウェアのアップグレード方法について、このページの最後に添付されたファイルにてご確認ください。

出典:

この脆弱性は、イギリスのセキュリティ研究者WatchfulIPによるHSRCに報告しました。

よくある質問:

こちらのページを参照してください。

お問い合わせ

セキュリティ上の問題や懸念がある場合は、弊社のサポートチーム(support.jp@hikvision.com)に連絡してください。

 

2021-09-19 V1.0 INITIAL

2021-09-23 V1.1 UPDATED: Updated Affected Versions

2021-09-24 V1.2 UPDATED: Updated Affected Versions

ダウンロード

当サイトでは、ウェブサイト機能向上に必要なCookie(クッキー)を使用しています。お客様に弊社ウェブサイトを快適にご利用いただくために、新たなCookieの使用をご理解いただけると幸いです。詳しい情報は、クッキーポリシーでご確認ください。

お問い合わせ