Notificación de seguridad: vulnerabilidad de seguridad en algunos productos Hybrid SAN/Cluster Storage de Hikvision
SN No. HSRC-202304-01
Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)
Fecha de lanzamiento inicial: 2023-04-10
Resumen
Algunos productos Hikvision Hybrid SAN/Cluster Storage tienen una vulnerabilidad de control de acceso que se puede utilizar para obtener el permiso de administrador. El atacante puede aprovechar la vulnerabilidad enviando mensajes manipulados a los dispositivos afectados.
Hikvision ha lanzado una versión para corregir la vulnerabilidad.
CVE ID
CVE-2023-28808
Puntuación
Se adopta CVSS v3 en esta puntuación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2023-28808
Puntuación básica: 9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Puntuación temporal: 8.2 (E:P/RL:O/RC:C).
Versiones y arreglos afectados
Nombre del producto | Versiones afectadas | Descarga del patch | Manual del usuario |
DS-A71024/48/72R | Versiones por debajo de V2.3.8-8 (incluida V2.3.8-8) | Corrección de la vulnerabilidad de seguridad de Hybrid SAN-230407.zip | Guía del usuario para reparar la vulnerabilidad de seguridad de Hybrid SAN_230410 |
DS-A80624S | |||
DS-A81016S | |||
DS-A72024/72R | |||
DS-A80316S | |||
DS-A82024D | |||
DS-A71024/48R-CVS | Versiones por debajo de V1.1.4 (incluida V1.1.4) | Corrección de la vulnerabilidad de seguridad de Cluster Storage-230407.zip | Guía del usuario para reparar la vulnerabilidad de seguridad de Cluster_230410 |
Condición previa
El atacante tiene acceso a la red del dispositivo.
Paso de ataque
Se envía un mensaje malicioso especialmente diseñado.
Obtención de versiones correjidas
Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision.
Fuente de información de la vulnerabilidad
Souvik Kandar, Arko Dhar del equipo de Redinent Innovations en India, informó a HSRC sobre esta vulnerabilidad, y también queremos agradecer la cooperación del Equipo Nacional de Respuesta a Emergencias Informáticas de India (CERT-In) que se coordinó con nosotros para manejar esta vulnerabilidad.
Contáctanos
Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hrbaojie.com.
Hikvision quisiera agradecer a todos los investigadores de seguridad por su atención a nuestros productos.
hrbaojie.com/es-co/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con tu consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarte publicidad dirigida / mostrarte publicidad de acuerdo con tu ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulta nuestra política de cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.