918博天堂·(中国区)首页

Vulnerabilidade de segurança em alguns produtos Hikvision

Vulnerabilidade de segurança em alguns produtos Hikvision

N.º SN HSRC-202311-03

 

Editar: Centro de Resposta de Segurança Hikvision (HSRC)

 

Data de lançamento inicial: 2023-11-23

 

Resumo

Alguns produtos Hikvision foram afectados por uma vulnerabilidade de desvio de autenticação no módulo Hik-Connect, que pode permitir que atacantes remotos consumam serviços enviando mensagens criadas para os dispositivos afectados.

 

ID DO CVE

CVE-2023-48121

 

Pontuação

O CVSS v3.1 é adotado nesta pontuação de vulnerabilidade.

 

(http://www.first.org/cvss/specification-document)

 

Pontuação base: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

 

Versões afetadas

Não

Nome do produto

Versões afetadas

1

DS-2CV1xxx

data de construção anterior a 231108

2

DS-2CV2xxx

data de construção anterior a 231108

3

DS-2CD1xxx

data de construção anterior a 230614

4

DS-2CD2xx1

DS-2CD2xx3

DS-2CD2xx6

DS-2CD2xx7

data de construção anterior a 230630

5 DS-2CD2xx2
DS-2CD2xx0

data de construção anterior a 231110

6

DS-2CD2xxx-W

data de construção anterior a 230831

7

DS-2CD3xxx

data de construção anterior a 210429

8

HWI-xxxx

data de construção anterior a 231108

9

IPC-xxx

data de construção anterior a 230614

10

DS-2DE4xxx

data de construção anterior a 230519

11

DS-2DE2Axx

data de construção anterior a 230612

12

iDS-EXXHUH
DS-EXXHGH
iDS-EXXHQH
DVR-EXXHUH

data de construção anterior a 230825 

13

iDS-72XXHQH-M(C)
iDS-72XXHUH-M(C)
iDS-72XXHQH-M(E)
iDS-72XXHUH-M(E)
iDS-72XXHTH-M(C)
HW-HWD-72XXMH-G4
HW-HWD-62XXMH-G4
HL-DVR-216Q-K2(E)

data de construção anterior a 230823

14

DS-71XXHGH-M(C)
DS-72XXHGH-M(C)
DS-71XXHGH-K(S)
DS-72XXHGH-K(S)
HL-DVR-1XXG-K(S)
HL-DVR-2XXG-K(S)
HL-DVR-1XXG-M(C)
HL-DVR-2XXG-M(C)
HW-HWD-51XXH(S)
HW-HWD-51XXH-G
HW-HWD-51XXMH-G
iDS-71xxHQH-M(C)
iDS-71xxHQH-M(E)
iDS-72xxHQH-M/E(C)
iDS-72xxHQH-M/E(E)
HL-DVR-2XXQ-M(C)
HL-DVR-2XXQ-M(E)
HW-HWD-61XXMH-G4
HW-HWD-61XXMH-G4(E)
iDS-71xxHUH-M(C)
iDS-72xxHUH-M/E(C)
iDS-71xxHUH-M(E)
iDS-72xxHUH-M/E(E)
HL-DVR-2XXU-M(C)
HL-DVR-2XXU-M(E)
HW-HWD-71XXMH-G4
HW-HWD-71XXMH-G4(E)

data de construção anterior a 230913

15

DS-76xxNI-Q1(/xP)(D)
DS-76xxNI-Q2(/xP)(D)
DS-77xxNI-Q4(/xP)(D)
DS-76xxNXI-K1(/xP)(B)
NVR-2xx(M)H(-xP)-C(D)
NVR-1xx(M)H(-xP)-C(D)
HW-HWN-42xx(M)H(-xP)(D)
HW-HWN-41xx(M)H(-xP)(D)

data de construção anterior a 230620

16

DS-71xxNI-Q1(/xP)(/M)(D)
DS-76xxNI-Q1(C)
DS-76xxNI-Q2(C)
DS-76xxNI-K1(C)
HL-NVR-1xx(M)H-D(D)
HW-HWN-21xx(M)H(-xP)(D)
HW-HWN-41xxMH(C)
HW-HWN-42xxMH(C)
HL-NVR-1xxMH-C(C)
HL-NVR-2xxMH-C(C)

data de construção anterior a 230707

17

DS-76xxNI-K2
DS-77xxNI-K4

data de construção anterior a 230712

18

HL-NVR-EXXMH-D/4P(SSD 1T)
HL-NVR-EXXMH-D/4P(SSD 2T)
DS-EXXNI-Q1(SSD 1T)
DS-EXXNI-Q1(SSD 2T)

data de construção anterior a 230925

 

 

Pré-condição

O atacante tem acesso de rede ao dispositivo.

 

Passo de ataque

Envio de uma mensagem maliciosa criada especificamente para o efeito.

 

Obtenção da versão fixa

Os utilizadores podem transferir o patch no sítio Web oficial da Hikvision .

 

Fonte de informações sobre vulnerabilidades

A vulnerabilidade foi comunicada à equipa de segurança do EZVIZ por Joern (@joerngermany).

 

Contacte-nos

Para comunicar quaisquer problemas de segurança ou vulnerabilidades nos produtos e soluções da Hikvision, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hrbaojie.com.

 

A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.

 

Este aviso de segurança é publicado e atualizado com base nos resultados da investigação atual da Hikvision e está sujeito a alterações. 

 

2023-11-23 V1.0 INICIAL

2023-11-29 V1.1 ACTUALIZADO: Versões afectadas actualizadas

2023-12-04 V1.2 ACTUALIZADO: Versões afectadas actualizadas

Contact Us
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.