当サイトでは、ウェブサイト機能向上に必要なCookie(クッキー)を使用しています。お客様に弊社ウェブサイトを快適にご利用いただくために、新たなCookieの使用をご理解いただけると幸いです。詳しい情報は、クッキーポリシーでご確認ください。
セキュリティ強化に関するお知らせ——一部のHikvision製品におけるコマンドインジェクションの脆弱性
SN No.: HSRC-202109-01
編集者: Hikvision Security Response Center (HSRC)
最初のリリース日: 2021-09-19
概要:
Hikvisionの公式HSRC-202109-01セキュリティ通知に記載されている通り、一部のHikvision製品のWebサーバーにコマンド・インジェクションの脆弱性が発見されました。入力検証が不十分なため、攻撃者はこの脆弱性を利用して、悪意のあるコマンドを含む特別に作成したメッセージを送信することにより、コマンド・インジェクション攻撃を行う可能性があります。
CVE ID:
CVE-2021-36260
基本値:
この評価基準にはCVSSv3が採用されています(http://www.first.org/cvss/specification-document)
基本値: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
現状値 : 8.8 (E:P/RL:O/RC:C)
対象製品/対象バージョンの情報:
以下は日本で販売され、影響を受ける製品です。全部の影響された対象製品については、グローバルの公式サイトにて確認してください。
対象製品 |
対象バージョン |
DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C) |
Versions which Build time before 210625 |
DS-2CD2x21G0 DS-2CD2x21G0(C) DS-2CD2x21G1 DS-2CD2x21G1(C) |
|
(i)DS-2DExxxx |
|
DS-76xxNI-K1xx(C) |
V4.30.210 Build201224 - V4.31.000 Build210511 |
DS-2TBxxx |
Versions which Build time before 210702 |
DS-2TD1xxx-xx |
|
DS-2TD41xx-xx/Wx |
前提条件:
攻撃者がデバイスのネットワークにアクセスしているか、デバイスがインターネットと直接つながっていることになります
攻撃ステップ:
細工されたメッセージを送信します。
修復のファームウェアの入手:
ユーザーは、この潜在的な脆弱性を防ぐために、更新されたファームウェアをダウンロードする必要があります。お手数ですが、 Hikvisionのグローバルホームページでダウンロードしてください:
ファームウェアのアップグレード方法について、このページの最後に添付されたファイルにてご確認ください。
出典:
この脆弱性は、イギリスのセキュリティ研究者WatchfulIPによるHSRCに報告しました。
よくある質問:
こちらのページを参照してください。
お問い合わせ
セキュリティ上の問題や懸念がある場合は、弊社のサポートチーム(support.jp@hikvision.com)に連絡してください。
2021-09-19 V1.0 INITIAL
2021-09-23 V1.1 UPDATED: Updated Affected Versions
2021-09-24 V1.2 UPDATED: Updated Affected Versions
ダウンロード
当サイトでは、ウェブサイト機能向上に必要なCookie(クッキー)を使用しています。お客様に弊社ウェブサイトを快適にご利用いただくために、新たなCookieの使用をご理解いただけると幸いです。詳しい情報は、クッキーポリシーでご確認ください。