Vulnerabilidad de seguridad en algunos productos de control de acceso/intercomunicación Hikvision
SN N.o HSRC-202306-01
Editar: HSRC (centro de respuesta de seguridad de Hikvision):
Fecha de publicación inicial: 2023-06-14
Resumen:
Algunos de los productos de control de acceso/intercomunicación de Hikvision tienen las siguientes vulnerabilidades de seguridad:
(1) Algunos productos de control de acceso son vulnerables a un ataque de secuestro de sesión porque el producto no actualiza el ID de sesión después de que un usuario inicia sesión correctamente. Para explotar la vulnerabilidad, los atacantes tienen que solicitar el ID de sesión al mismo tiempo que un usuario válido inicia sesión y obtener permisos de operación del dispositivo falsificando la IP y el ID de sesión de un usuario autenticado.
(2) Algunos productos de control de acceso/intercomunicación tienen modificaciones no autorizadas de las vulnerabilidades de configuración de la red del dispositivo. Los atacantes pueden modificar la configuración de la red del dispositivo enviando paquetes de datos específicos a la interfaz vulnerable dentro de la misma red local.
ID CVE:
CVE-2023-28809
CVE-2023-28810
Calificación
Se adopta CVSS v3 en esta calificación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2023-28809
Calificación básica: 7,5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)
Calificación temporal: 6,7 (/E:P/RL:O/RC:C)
CVE-2023-28810
Calificación básica: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Calificación temporal: 3.9 (E:P/RL:O/RC:C)
Versiones y correcciones afectadas:
Nombre del producto | Vuls afectados | Versiones afectadas |
DS-K1T804AXX |
CVE-2023-28809 Y CVE-2023-28810 |
Versiones inferiores a V1.4.0_build221212 (incluida V1.4.0_build221212) |
DS-K1T341AXX |
Versiones por debajo de V3.2.30_build221223 (incluido V3.2.30_build221223) |
|
DS-K1T671XXX |
Versiones por debajo de V3.2.30_build221223 (incluido V3.2.30_build221223) |
|
DS-K1T343XXX |
Versiones inferiores a V3.14.0_build230117 (incluida V3.14.0_build230117) |
|
DS-K1T341C |
Versiones inferiores a V3.3.8_build230112 (incluida V3.3.8_build230112) |
|
DS-K1T320XXX |
Versiones inferiores a V3.5.0_build220706 (incluida V3.5.0_build220706) |
|
Serie DS-KH63 |
CVE-2023-28810 |
Versiones inferiores a V2.2.8_build230219 (incluida V2.2.8_build230219) |
Serie DS-KH62 | Versiones inferiores a V1.4.62_build220414 (incluido V1.4.62_build220414) | |
DS-KH9310-WTE1(B) |
Versiones inferiores a V2.1.76_build230204 (incluido V2.1.76_build230204) |
Obtener versiones corregidas
Los usuarios pueden descargar parches/actualizaciones aquí para mitigar estas vulnerabilidades.
Fuente de información de vulnerabilidad:
Estas vulnerabilidades fueron notificadas al HSRC por Andres Hinnosaar con el apoyo de CCDCOE de la OTAN y Peter Szot de Skylight Cyber.
Contáctenos
Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.
Hikvision quiere agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar posibles vulnerabilidades en nuestros productos para asegurarnos de que nuestras soluciones protegen a las personas, los lugares y los activos al tiempo que se protegen los datos.
Este sitio web utiliza cookies para almacenar información en su dispositivo. Las cookies ayudan a que nuestro sitio web funcione normalmente y nos muestran cómo podemos mejorar su experiencia de usuario.
Al continuar navegando por el sitio, usted acepta nuestra política de cookies y nuestra política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.