Vulnerabilidade de segurança em alguns produtos Hikvision
N.º SN HSRC-202311-03
Editar: Centro de Resposta de Segurança Hikvision (HSRC)
Data de lançamento inicial: 2023-11-23
Resumo
Alguns produtos Hikvision foram afectados por uma vulnerabilidade de desvio de autenticação no módulo Hik-Connect, que pode permitir que atacantes remotos consumam serviços enviando mensagens criadas para os dispositivos afectados.
ID DO CVE
CVE-2023-48121
Pontuação
O CVSS v3.1 é adotado nesta pontuação de vulnerabilidade.
(http://www.first.org/cvss/specification-document)
Pontuação base: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
Versões afetadas
Não |
Nome do produto |
Versões afetadas |
1 |
DS-2CV1xxx |
data de construção anterior a 231108 |
2 |
DS-2CV2xxx |
data de construção anterior a 231108 |
3 |
DS-2CD1xxx |
data de construção anterior a 230614 |
4 |
DS-2CD2xx1 DS-2CD2xx3 DS-2CD2xx6 DS-2CD2xx7 |
data de construção anterior a 230630 |
5 | DS-2CD2xx2 DS-2CD2xx0 |
data de construção anterior a 231110 |
6 |
DS-2CD2xxx-W |
data de construção anterior a 230831 |
7 |
DS-2CD3xxx |
data de construção anterior a 210429 |
8 |
HWI-xxxx |
data de construção anterior a 231108 |
9 |
IPC-xxx |
data de construção anterior a 230614 |
10 |
DS-2DE4xxx |
data de construção anterior a 230519 |
11 |
DS-2DE2Axx |
data de construção anterior a 230612 |
12 |
iDS-EXXHUH |
data de construção anterior a 230825 |
13 |
iDS-72XXHQH-M(C) |
data de construção anterior a 230823 |
14 |
DS-71XXHGH-M(C) |
data de construção anterior a 230913 |
15 |
DS-76xxNI-Q1(/xP)(D) |
data de construção anterior a 230620 |
16 |
DS-71xxNI-Q1(/xP)(/M)(D) |
data de construção anterior a 230707 |
17 |
DS-76xxNI-K2 |
data de construção anterior a 230712 |
18 |
HL-NVR-EXXMH-D/4P(SSD 1T) |
data de construção anterior a 230925
|
Pré-condição
O atacante tem acesso de rede ao dispositivo.
Passo de ataque
Envio de uma mensagem maliciosa criada especificamente para o efeito.
Obtenção da versão fixa
Os utilizadores podem transferir o patch no sítio Web oficial da Hikvision .
Fonte de informações sobre vulnerabilidades
A vulnerabilidade foi comunicada à equipa de segurança do EZVIZ por Joern (@joerngermany).
Contacte-nos
Para comunicar quaisquer problemas de segurança ou vulnerabilidades nos produtos e soluções da Hikvision, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hrbaojie.com.
A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.
Este aviso de segurança é publicado e atualizado com base nos resultados da investigação atual da Hikvision e está sujeito a alterações.
2023-11-23 V1.0 INICIAL
2023-11-29 V1.1 ACTUALIZADO: Versões afectadas actualizadas
2023-12-04 V1.2 ACTUALIZADO: Versões afectadas actualizadas
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.