918博天堂·(中国区)首页

Security Vulnerability in Some Hikvision Access Control/Intercom Products

Vulnerabilidad de seguridad en algunos productos de intercomunicación/control de acceso de Hikvision


SN No. HSRC-202306-01

Edición: Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC)

Fecha de lanzamiento inicial: 2023-06-14

 

Resumen:

Algunos de los productos de intercomunicación/control de acceso de Hikvision tienen las siguientes vulnerabilidades de seguridad:

(1) Algunos productos de control de acceso son vulnerables a un ataque de secuestro de sesión porque el producto no actualiza la ID de sesión después de que un usuario inicia sesión correctamente. Para aprovechar la vulnerabilidad, los atacantes deben solicitar la ID de sesión al mismo tiempo que un usuario válido inicia sesión y así obtiene permisos de funcionamiento del dispositivo, falsificando la IP y el ID de sesión de un usuario autenticado.

 

(2) Algunos productos de intercomunicación/control de acceso tienen vulnerabilidades de configuración de redes de dispositivos modificadas sin autorización. Los atacantes pueden modificar la configuración de la red del dispositivo enviando paquetes de datos específicos a la interfaz que esta vulnerable dentro de la misma red local.

 

CVE ID:

CVE-2023-28809 

CVE-2023-28810

 

Puntuación

Se adopta CVSS v3 en esta puntuación de vulnerabilidad.

(http://www.first.org/cvss/specification-document)

CVE-2023-28809

Puntuación base: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)

CVE-2023-28810

Puntuación base: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

Puntuación temporal: 3.9 (E:P/RL:O/RC:C)

 

Versiones y arreglos afectados:

Nombre del producto Vulnerabilidades afectadas Versiones afectadas

DS-K1T804AXX

CVE-2023-28809 & CVE-2023-28810

Versiones por debajo de V1.4.0_build221212 (incluida V1.4.0_build221212)

DS-K1T341AXX

Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223)

DS-K1T671XXX

Versiones por debajo de V3.2.30_build221223 (incluida V3.2.30_build221223)

DS-K1T343XXX

Versiones por debajo de V3.14.0_build230117 (incluida V3.14.0_build230117)

DS-K1T341C

Versiones por debajo de V3.3.8_build230112 (incluida V3.3.8_build230112)

DS-K1T320XXX

Versiones por debajo de V3.5.0_build220706 (incluida V3.5.0_build220706)

Serie DS-KH63
Serie DS-KH85

CVE-2023-28810

Versiones por debajo de V2.2.8_build230219 (incluida V2.2.8_build230219)

Serie DS-KH62 Versiones por debajo de V1.4.62_build220414 (incluida V1.4.62_build220414)

DS-KH9310-WTE1(B)
DS-KH9510-WTE1(B)

Versiones por debajo de V2.1.76_build230204 (incluida V2.1.76_build230204)

Obtención de versiones fijas

Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision para mitigar estas vulnerabilidades.

 

Fuente de información de vulnerabilidades:

Estas vulnerabilidades fueron reportadas a HSRC por Andres Hinnosaar con el apoyo de NATO CCDCOE y Peter Szot de Skylight Cyber.

 

Contáctanos

Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comunícate con el Centro de respuesta de seguridad de Hikvision (Hikvision Security Response Center, HSRC) en hsrc@hrbaojie.com.

 


Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.

Obtaining Fixed Versions

Users can download patches/updates on the Hikvision official website to mitigate these vulnerabilities.

 

Source of vulnerability information:

These vulnerabilities were reported to HSRC by Andres Hinnosaar with the support of NATO CCDCOE and Peter Szot from Skylight Cyber.

 

Contact Us

To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hrbaojie.com.

 

Hikvision would like to thank all the security researchers who help identify and mitigate potential vulnerabilities in our products to ensure that our solutions protect people, places, and assets while user data is safeguarded.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.