19 сентября 2021 года компания Hikvision провела обновление ПО для своих продуктов
19 сентября 2021 года компания Hikvision провела обновление ПО для своих продуктов
29 октября 2021
Уважаемые коллеги и партнеры,
19 сентября 2021 года Hikvision провела обновление программного обеспечения для своих продуктов. Скачать новую версию можно на официальном сайте. В обновлении была устранена критическая уязвимость ввода команд (Command Injection) на веб-сервере для некоторых продуктов Hikvision. Список продуктов, в которых была обнаружена данная уязвимость, опубликован в разделе «Рекомендации по безопасности» на сайте
Поскольку многие партнеры компании используют оборудование из этого списка, мы настоятельно рекомендуем установить обновление, чтобы обеспечить соблюдение протоколов безопасности.
В связи с этим инцидентом хотим рассказать подробнее о мерах, предпринимаемых Hikvision для обеспечения кибербезопасности. В июне 2021 года с представителями Hikvision связался специалист по безопасности, назвавшийся Watchful IP. Он сообщил о существовании потенциальной уязвимости в одной из камер Hikvision. После подтверждения этого инцидента Hikvision напрямую связалась с данным специалистом, чтобы разобраться в проблеме и исправить ее в соответствии со Стандартным Протоколом Обнаружения (Coordinated Disclosure Process).
В настоящий момент, уязвимость, о которой шла речь, исправлена в последней прошивке, доступной для скачивания на сайте Hikvision.
Hikvision входит в число партнеров CVE Numbering Authority (CNA). Это значит, что компания собирает информацию об общеизвестных уязвимостях информационной безопасности и сотрудничает со сторонними специалистами и исследователями безопасности, для своевременного нахождения, исправления, публикации информации об уязвимостях и выпуска обновлений продуктов с учетом существующих киберугроз.
Hikvision строго соблюдает законы и правила, действующие во всех странах и регионах своего присутствия. Работа по обеспечению безопасности выпускаемых продуктов всегда отвечает требованиям, установленным государственными организациями.
Уведомление о безопасности: уязвимость ввода команд в некоторых продуктах Hikvision
Дата разработки: 1 сентября 2021 года
Изменения внесены: Центром реагирования на угрозы безопасности Hikvision Дата первого выпуска: 19 сентября 2021 года
Резюме:
Уязвимость ввода команд на веб-сервере для некоторых продуктов Hikvision. Из-за недостаточной проверки ввода злоумышленник может воспользоваться уязвимостью, чтобы совершить атаку, отправив сообщения с вредоносными командами.
Источник информации об уязвимости: Об этой уязвимости сообщил британский специалист по информационной безопасности Watchful IP.
Контакты для связи: Если у вас возникли проблемы с информационной безопасностью, обратитесь в Центр реагирования на угрозы безопасности Hikvision Kazakhstan по адресу support@hikvision.kz