Notificação de segurança - Vulnerabilidade de injeção de comandos em alguns produtos Hikvision

Notificação de segurança - Vulnerabilidade de injeção de comandos em alguns produtos Hikvision

Nº SN: HSRC-202109-01

Editar: Centro de Resposta à Segurança da Hikvision (HSRC)

Data de lançamento inicial: 2021-09-19

Descarregar o firmware fixo: Os utilizadores podem procurar o firmware através do número de série do produto aqui

Resumo:

Uma vulnerabilidade de injeção de comandos no servidor Web de alguns produtos Hikvision. Devido à insuficiente validação das entradas, o atacante pode explorar a vulnerabilidade para lançar um ataque de injeção de comandos, enviando algumas mensagens com comandos maliciosos.

ID CVE:

CVE-2021-36260

Pontuação:

O CVSS v3 é adotado nesta pontuação de vulnerabilidade(http://www.first.org/cvss/specification-document)

Pontuação base: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Pontuação temporal: 8.8 (E:P/RL:O/RC:C)

Versões afectadas e versão resolvida:

O firmware do seu dispositivo é afetado por esta vulnerabilidade de segurança (CVE-2021-36260) se a sua versão for anterior a 210628. Instale as actualizações imediatamente. Informações sobre as versões afectadas e as versões resolvidas:

Nome do produto

Versão(ões) afetada(s)

DS-2CVxxx1
DS-2CVxxx6

Versões com tempo de compilação anterior a 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0E(C)

DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0(C)

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versões com tempo de compilação anterior a 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

DS-2CD1x23G0 Versões anteriores (não incluídas) à V5.5.0 build xxxxxx
DS-2CD2xx1G0
DS-2CD2xx1G1
DS-2CD2x27G1
DS-2CD2x27G3E
DS-2CD4xx6FWD (Não-ANPR)
DS-2CD4xx5G0
DS-2XE6xx5G0
DS-2XE6xx2F
DS-2XM6xx2FWD
DS-2XM6xx2G0
(i)DS-2DExxxx

 

Condição prévia:

O atacante tem acesso à rede do dispositivo ou o dispositivo tem uma interface direta com a Internet

Passo de ataque:

Enviar uma mensagem especialmente concebida.

Obtenção de firmware fixo:

Os utilizadores devem descarregar o firmware atualizado para se protegerem contra esta potencial vulnerabilidade. Está disponível no sítio Web oficial da Hikvision: Descarregamento do firmware. Os utilizadores podem também utilizar a ferramenta de pesquisa para actualizações importantes de firmware para detetar rapidamente vulnerabilidades críticas e transferir o firmware correspondente.

Fonte de informação sobre a vulnerabilidade:

Esta vulnerabilidade foi comunicada ao HSRC pelo investigador de segurança britânico Watchful IP.

Contactar-nos:

Se tiver um problema ou preocupação de segurança, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hikvision.com.

 

2021-09-19 V1.0 INICIAL

2021-09-23 V1.1 ACTUALIZADA: Versões afectadas actualizadas

2021-09-24 V1.2 ACTUALIZADA: Versões afectadas actualizadas

2021-11-08 V1.3 ACTUALIZADO: Versões afectadas actualizadas

2021-12-31 V1.4 ACTUALIZADA: Versões afectadas actualizadas

How-to Documents

Download fixed firmware: Users can search the firmware via the product serial number here

Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.

Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.

Contact Us
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.