29 октября 2021
Уважаемые коллеги и партнеры,
19 сентября 2021 года Hikvision провела обновление программного обеспечения для своих продуктов. Скачать новую версию можно на официальном сайте. В обновлении была устранена критическая уязвимость ввода команд (Command Injection) на веб-сервере для некоторых продуктов Hikvision. Список продуктов, в которых была обнаружена данная уязвимость, опубликован в разделе «Рекомендации по безопасности»
на сайте
Поскольку многие партнеры компании используют оборудование из этого списка, мы настоятельно рекомендуем установить обновление, чтобы обеспечить соблюдение протоколов безопасности.
В связи с этим инцидентом хотим рассказать подробнее о мерах, предпринимаемых Hikvision для обеспечения кибербезопасности. В июне 2021 года с представителями Hikvision связался специалист по безопасности, назвавшийся Watchful IP. Он сообщил о существовании потенциальной уязвимости в одной из камер Hikvision. После подтверждения этого инцидента Hikvision напрямую связалась с данным специалистом, чтобы разобраться в проблеме и исправить ее в соответствии со Стандартным Протоколом Обнаружения (Coordinated Disclosure Process).
В настоящий момент, уязвимость, о которой шла речь, исправлена в последней прошивке, доступной для скачивания на сайте Hikvision.
Hikvision входит в число партнеров
CVE Numbering Authority (CNA). Это значит, что компания собирает информацию об общеизвестных уязвимостях информационной безопасности и сотрудничает со сторонними специалистами и исследователями безопасности, для своевременного нахождения, исправления, публикации информации об уязвимостях и выпуска обновлений продуктов с учетом существующих киберугроз.
Hikvision строго соблюдает законы и правила, действующие во всех странах и регионах своего присутствия. Работа по обеспечению безопасности выпускаемых продуктов всегда отвечает требованиям, установленным государственными организациями.
Уведомление о безопасности: уязвимость ввода команд в некоторых продуктах Hikvision
Дата разработки: 1 сентября 2021 года
Изменения внесены: Центром реагирования на угрозы безопасности Hikvision Дата первого выпуска: 19 сентября 2021 года
Резюме:
Уязвимость ввода команд на веб-сервере для некоторых продуктов Hikvision. Из-за недостаточной проверки ввода злоумышленник может воспользоваться уязвимостью, чтобы совершить атаку, отправив сообщения с вредоносными командами.
Идентификационный номер (ID CVE): CVE-2021-36260
Базовая оценка: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Временная оценка: 8.8 (E:P/RL:O/RC:C)
Затронутые и исправленные версии:
Информация о затронутых и решенных версиях вы можете узнать здесь
Условие для атаки:
Злоумышленник имеет доступ к сети устройства или устройство напрямую подключено к интернету.
Суть атаки: Отправка специально созданного сообщения.
Как получить исправленную прошивку:
Пользователи должны загрузить обновленную прошивку, чтобы защититься от потенциальной уязвимости.
Extract passwords: Rnv9
Источник информации об уязвимости: Об этой уязвимости сообщил британский специалист по информационной безопасности Watchful IP.
Контакты для связи: Если у вас возникли проблемы с информационной безопасностью, обратитесь в Центр реагирования на угрозы безопасности Hikvision Kazakhstan по адресу
support@hikvision.kz