Vulnérabilité de sécurité dans certains produits de contrôle d'accès et d'intercom Hikvision
SN No. HSRC-202306-01
Editeur : HSRC (Centre de réponse de sécurité Hikvision) :
Date de sortie initiale 2023-06-14
Résumé :
Certains produits de contrôle d'accès/intercom de Hikvision présentent les vulnérabilités de sécurité suivantes :
(1) Certains produits de contrôle d'accès sont vulnérables à une attaque par détournement de session car le produit ne met pas à jour l'identifiant de session après qu'un utilisateur se soit connecté avec succès. Pour exploiter cette vulnérabilité, les attaquants doivent demander l'identifiant de session en même temps qu'un utilisateur valide se connecte, et obtenir des autorisations de fonctionnement du dispositif en falsifiant l'IP et l'identifiant de session d'un utilisateur authentifié.
(2) Certains produits de contrôle d'accès et d'interphonie présentent des vulnérabilités liées à la modification non autorisée de la configuration du réseau de l'appareil. Les attaquants peuvent modifier la configuration du réseau de l'appareil en envoyant des paquets de données spécifiques à l'interface vulnérable au sein du même réseau local.
CVE ID:
CVE-2023-28809
CVE-2023-28810
Notation
CVSS v3 est adopté dans cette notation de vulnérabilité.
(http://www.first.org/cvss/specification-document)
CVE-2023-28809
Notation de base : 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)
Score temporel : 6.7 (/E:P/RL:O/RC:C)
CVE-2023-28810
Notation de base : 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Score temporel : 3.9 (E:P/RL:O/RC:C)
Versions concernées et corrections:
Nom du produit | Vuls concernées | Versions affectées |
DS-K1T804AXX |
CVE-2023-28809 & CVE-2023-28810 |
Versions inférieures V1.4.0_build221212 (dont V1.4.0) |
DS-K1T341AXX |
Versions inférieures V3.2.30_build221223 (dont V3.2.30) |
|
DS-K1T671XXX |
Versions inférieures V3.2.30_build221223 (dont V3.2.30) |
|
DS-K1T343XXX |
Versions inférieures V3.14.0_build230117 (dont V3.14.0) |
|
DS-K1T341C |
Versions inférieures V3.3.8_build230112 (dont V3.3.8_build230112) |
|
DS-K1T320XXX |
Versions inférieures V3.5.0_build220706 (dont V3.5.0) |
|
DS-KH63 Series |
CVE-2023-28810 |
Versions inférieures V2.2.8_build230219 (dont V2.2.8) |
DS-KH9310-WTE1(B) |
Versions inférieures V2.1.76_build230204 (dont V2.1.76) |
Obtention de versions corrigées
Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision afin de remédier à ces vulnérabilités
Source d'informations sur la vulnérabilité :
Ces vulnérabilités ont été signalées au HSRC par Andres Hinnosaar, avec le soutien du CCDCOE de l'OTAN et de Peter Szot de Skylight Cyber.
Contactez-nous
Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter Hikvision Security Response Center à l'adresse hsrc@hrbaojie.com.
Hikvision tient à remercier tous les chercheurs en sécurité qui s'évertuent à identifier et à atténuer les éventuelles vulnérabilités de nos produits afin de garantir que nos solutions protègent les personnes, les lieux et les actifs tout en protégeant les données des utilisateurs.
Votre consentement aux cookies
hrbaojie.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.
Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.
Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.