Vulnerabilidad de seguridad en algunos productos de intercomunicación/control de acceso de Hikvision
SN No. HSRC-202306-01
Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)
Fecha de lanzamiento inicial: 2023-06-14
Resumen:
Algunos de los productos de intercomunicación/control de acceso de Hikvision tienen las siguientes vulnerabilidades de seguridad:
(1) Algunos productos de control de acceso son vulnerables a un ataque de secuestro de sesión porque el producto no actualiza la ID de sesión después de que un usuario inicia sesión correctamente. Para aprovechar la vulnerabilidad, los atacantes deben solicitar la ID de sesión al mismo tiempo que un usuario válido inicia sesión y así obtiene permisos de funcionamiento del dispositivo, falsificando la IP y el ID de sesión de un usuario autenticado.
(2) Algunos productos de intercomunicación/control de acceso tienen vulnerabilidades de configuración de redes de dispositivos modificadas sin autorización. Los atacantes pueden modificar la configuración de la red del dispositivo enviando paquetes de datos específicos a la interfaz que esta vulnerable dentro de la misma red local.
CVE ID:
CVE-2023-28809
CVE-2023-28810
Puntuación
Se adopta CVSS v3 en esta puntuación de vulnerabilidad.
(http://www.first.org/cvss/specification-document)
CVE-2023-28809
Puntuación base: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)
Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)
CVE-2023-28810
Puntuación base: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Puntuación temporal: 3.9 (E:P/RL:O/RC:C)
Versiones y arreglos afectados:
Nombre del producto | Vulnerabilidades afectadas | Versiones afectadas |
DS-K1T804AXX |
CVE-2023-28809 & CVE-2023-28810 |
Versiones por debajo de V1.4.0_build221212 (incluida V1.4.0_build221212) |
DS-K1T341AXX |
Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223) |
|
DS-K1T671XXX |
Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223) |
|
DS-K1T343XXX |
Versiones por debajo de V3.14.0_build230117 (incluida V3.14.0_build230117) |
|
DS-K1T341C |
Versiones por debajo de V3.3.8_build230112 (incluida V3.3.8_build230112) |
|
DS-K1T320XXX |
Versiones por debajo de V3.5.0_build220706 (incluida V3.5.0_build220706) |
|
Serie DS-KH63 |
CVE-2023-28810 |
Versiones por debajo de V2.2.8_build230219 (incluida V2.2.8_build230219) |
Serie DS-KH62 | Versiones por debajo de V1.4.62_build220414 (incluida V1.4.62_build220414) | |
DS-KH9310-WTE1(B) |
Versiones por debajo de V2.1.76_build230204 (incluida V2.1.76_build230204) |
Obtención de versiones fijas
Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision para mitigar estas vulnerabilidades.
Fuente de información de vulnerabilidades:
Estas vulnerabilidades fueron reportadas a HSRC por Andres Hinnosaar con el apoyo de NATO CCDCOE y Peter Szot de Skylight Cyber.
Contáctanos
Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC) en hsrc@hrbaojie.com.
Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.
Obtaining Fixed Versions
Users can download patches/updates on the Hikvision official website to mitigate these vulnerabilities.
Source of vulnerability information:
These vulnerabilities were reported to HSRC by Andres Hinnosaar with the support of NATO CCDCOE and Peter Szot from Skylight Cyber.
Contact Us
To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hrbaojie.com.
Hikvision would like to thank all the security researchers who help identify and mitigate potential vulnerabilities in our products to ensure that our solutions protect people, places, and assets while user data is safeguarded.
hrbaojie.com/mx/ utiliza cookies estrictamente necesarias y tecnologías relacionadas para permitir que el sitio web funcione. Con tu consentimiento, también nos gustaría utilizar cookies para observar y analizar los niveles de tráfico y otras métricas / mostrarte publicidad dirigida / mostrarte publicidad de acuerdo con tu ubicación / adaptar el contenido de nuestro sitio web. Para obtener más información sobre las prácticas de cookies, consulta nuestra política de cookies.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.