Informacja dla Partnerów - Security Notification - Command Injection Vulnerability in Some Hikvision products

19 września 2021

Szanowni Partnerzy,

W dniu dzisiejszym firma Hikvision udostępniła na swojej stronie internetowej aktualizację oprogramowania układowego (firmware), która usuwa krytyczną podatność na atak typu Command Injection w module web serwera niektórych produktów Hikvision. Szczegółowa lista podatnych produktów wraz z dokładną charakterystyką podatności znajduje się w dziale Cyberbezpieczeństwo na naszej stronie www.

Zdając sobie sprawę z faktu, że wielu naszych Partnerów może posiadać zainstalowany sprzęt, którego dotyczy opisywana podatność, bardzo gorąco zachęcamy Państwa do ścisłej współpracy z Państwa klientami w celu jak najszybszego wykonania aktualizacji oprogramowania i tym samym zapewnienia najwyższego poziomu bezpieczeństwa systemów Państwa klientów.

Pragniemy także przekazać Państwu więcej szczegółów dotyczących opisywanej sytuacji aby podkreślić nasze pełne zaangażowanie w poprawę bezpieczeństwa cybernetycznego Państwa instalacji. W czerwcu b.r. skontaktowała się z nami organizacja badawcza Watchful IP, która zgłosiła potencjalną podatność w jednej z naszych kamer IP. Po potwierdzeniu zasadności zgłoszenia firma Hikvision rozpoczęła natychmiastową i bezpośrednią współpracę z Watchful IP w celu opracowania, weryfikacji i udostępnienia skutecznej poprawki dla wszystkich podatnych urządzeń, zgodnie ze standardami procesu skoordynowanego ujawniania i publikacji podatności.

Na dzień dzisiejszy zgłoszona w wyżej opisanym raporcie podatność została usunięta w najnowszej wersji oprogramowania układowego, która jest dostępna na oficjalnej stronie internetowej Hikvision (link podany wyżej).

Ponadto, firma Hikvision, jako jednostka systemu oznaczania podatności i narażeń CVE CNA (Common Vulnerabilities and Exposures Numbering Authority), zobowiązała się do ścisłej, ciągłej współpracy z podmiotami typu white-hat hacker („etyczni hakerzy”) oraz innymi organizacjami badającymi bezpieczeństwo cybernetyczne w celu skutecznego wyszukiwania, naprawiania, ujawniania i wydawania aktualizacji oprogramowania w najszybszym możliwym terminie, zależnym od możliwości zarządzania podatnościami przez nasze firmy partnerskie w ramach systemu CVE CNA.

Firma Hikvision ściśle przestrzega obowiązującego prawa i standardów we wszystkich krajach i regionach, a nasze działania podejmowane dla zapewnienia bezpieczeństwa cybernetycznego produktów daleko wykraczają poza oficjalne i normatywne wymagania.

W przypadku jakichkolwiek wątpliwości lub pytań zachęcamy do kontaktu z zespołem Hikvision Poland Sp. z o.o. oraz mailowo na info.pl@hikvision.com