• 918博天堂·(中国区)首页

    Vulnérabilité en matière de sécurité dans certains produits de contrôle d’accès et d’interphone de Hikvision

    Vulnérabilité de sécurité dans certains produits de contrôle d'accès et d'interphonie vidéo Hikvision

    SN N°. HSRC-202306-01

     

    Éditeur : Centre de réponse de sécurité Hikvision (CRSH/HSRC)

     

    Date de sortie initiale : 10 juin 2023.

     

    Résumé :

     

    Certains produits de contrôle d'accès/interphonie vidéo de Hikvision présentent les vulnérabilités de sécurité suivantes :

    (1) Certains produits de contrôle d'accès présentent des sessions de correction de vulnérabilités, mais le produit ne met pas à jour l'ID de la session après la connexion effective de l'utilisateur. Les attaquants peuvent obtenir les droits de l'appareil en falsifiant l'ID de la session et l'IP des utilisateurs normaux.

    (2) Certains produits de contrôle d'accès/interphonie vidéo présentent une modification non autorisée des vulnérabilités de la configuration du réseau de l'appareil. Les attaquants peuvent modifier la configuration de ce dernier en envoyant des paquets de données spécifiques vers l'interface vulnérable.

     

    ID CVE :

     

    CVE-2023-28809
    CVE-2023-28810

     

    Notation

     

    La v3 du CVSS est adoptée dans la notation de cette vulnérabilité.

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Score Base :5,3 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N)

    Score Temporel :4,8 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Score Base :4,3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Score Temporel :3,9 (E:P/RL:O/RC:C)

     

    Versions concernées et correctifs :

    Product Name Affected Vuls Affected Versions

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Versions below V1.4.0_build221212 (including V1.4.0_build221212)

    DS-K1T341AXX

    Versions below V3.2.30_build221223 (including V3.2.30_build221223)

    DS-K1T671XXX

    Versions below V3.2.30_build221223 (including V3.2.30_build221223)

    DS-K1T343XXX

    Versions below V3.14.0_build230117 (including V3.14.0_build230117)

    DS-K1T341C

    Versions below V3.3.8_build230112 (including V3.3.8_build230112)

    DS-K1T320XXX

    Versions below V3.5.0_build220706 (including V3.5.0_build220706)

    DS-KH63 Series
    DS-KH85 Series

    CVE-2023-28810

    Versions below V2.2.8_build230219 (including V2.2.8_build230219)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Versions below V2.1.76_build230204 (including V2.1.76_build230204)


    Condition préalable

    L'attaquant a un accès réseau à l'appareil.

    Étape de l'attaque

    Envoyer un message malveillant spécialement conçu.

     

    Obtention des versions corrigées

    Les utilisateurs peuvent télécharger les correctifs/mises à jour sur le site officiel de Hikvision pour atténuer ces vulnérabilités.

     

    Source d'information sur les vulnérabilités :

    Cette vulnérabilité a été signalée au CRSH/HSRC par Andres Hinnosaar, chercheur indépendant en sécurité, et Peter Szot, de chez skylightcyber.

     

    Communiquez avec nous

    Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le HSRC à cette adresse hsrc@hrbaojie.com.


    Hikvision souhaite remercier tous les chercheurs en sécurité qui contribuent à identifier et à atténuer les éventuelles vulnérabilités de nos produits, afin de vous assurer de la protection des personnes, des lieux et des biens par nos solutions ainsi que de la sauvegarde des données utilisateurs.

    Contactez-Nous

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.