Notificación de seguridad - Vulnerabilidad de desbordamiento de búfer en algunas cámaras IP de Hikvision

SN No. HSRC-201808-01

Revisión: Centro de Respuesta de Seguridad de Hikvision (HSRC)

Fecaha de publicación inicial: 2018-08-13

Fecha de actualización: 2018-08-23

Resumen

Una vulnerabilidad de desbordamiento de búfer en el servidor web de algunas cámaras IP Hikvision permite a un atacante enviar un mensaje especialmente diseñado a los dispositivos afectados. Debido a la insuficiente validación de entrada, un exploit exitoso puede corromper la memoria y conducir a la ejecución de código arbitrario o bloquear el proceso.

CVE ID

CVE-2018-6414

Scoring

CVSS v3 is adopted in this vulnerability scoring（http://www.first.org/cvss/specification-document）

Base score: 8.9 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:H)

Temporal score: 8.0 (E:P/RL:O/RC:C)

Versiones afectadas y correcciones

Cámara IP:

Nombre del producto	Versiones Afectadas	Versiones Corregidas	Dónde actualizar el firmware
DS-2CD2xx5 DS-2CD2xx3	V5.5.0 build170725 to V5.5.52 build180511	V5.5.61 build180718 and later	Download link
DS-2CD3xxx	V5.5.0 build170725 to V5.5.60 build180515	V5.5.61 build180718 and later	Download link
DS-2CD1X43 DS-2CD1X53	V5.5.2 build170920 to V5.5.52 build180523	V5.5.53 build180716 and later	Download link
DS-2CD2X12FWD DS-2CD2X22FWD DS-2CD2X42FWD DS-2CD2X52F	V5.5.0 build170725 to V5.5.52 build180427	V5.5.53 build180730 and later	Download link
DS-2CD4x26EFWD DS-2CD4BxxFWD DS-2CD4CxxFWD DS-2CD4DxxFWD DS-2XMxxxx	V5.5.0 build170914 to V5.5.52 build180601	V5.5.53 build180719 and later	Download link
DS-2CD1x01-I	V5.5.5 build180207 to V5.5.52 build180620	V5.5.53 build180717 and later	Download link
DS-2CD1x23	V5.5.2 build171013 to V5.5.52 build180522	V5.5.53 build180713 and later	Download link
DS-2CD1x21	V5.5.4 build180104 to V5.5.52 build180626	V5.5.53 build180717 and later	Download link

HiLook:

Nombre del producto	Versiones afectadas	Versiones corregidas	Dónde actualizar el to firmware
IPC-B100 IPC-D100	V5.5.5 build180207 to V5.5.52 build180620	V5.5.53 build180717 and later	Download link
IPC-x120H IPC-T220H	V5.5.2 build171013 to V5.5.52 build180522	V5.5.53 build180713 and later	Download link

IPD*:

Nombre del producto

Versiones afectadas

Versiones corregidas

Dónde actualizar el firmware

DS-2DF5xxx
DS-2DF6xxx
DS-2DF7xxx
DS-2DF8xxx
DS-2DT6223

V5.5.2 build171201 and previous versions*

V5.5.71 build180723 and later

Download link

DS-2DE4xxxW
DS-2DE5xxxW
DS-2DE7xxxW

V5.5.6 build180408 and previous versions*

V5.5.71 build180725 and later

Download link

* 2018/08/23 actualización: La versión afectada de IPD no incluye la versión V5.4.0 o previas.

Obtener el firmware corregido

Los usuarios deben descargar el firmware actualizado para protegerse de esta posible vulnerabilidad. Está disponible en el sitio web oficial de Hikvision.

Fuente de información de vulnerabilidad

Esta vulnerabilidad ha sido reportada a HSRC por Ori Hollander de VDOO Connected Trust LTD., una empresa de seguridad israelí centrada en la seguridad IoT.

Contáctenos

Si tiene algún problema o preocupación de seguridad, por favor contacte con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hikvision.com.