Уважаемые коллеги и партнеры,

19 сентября 2021 года Hikvision провела обновление программного обеспечения для своих продуктов. Скачать новую версию можно на официальном сайте. В обновлении была устранена критическая уязвимость ввода команд (Command Injection) на веб-сервере для некоторых продуктов Hikvision. Список продуктов, в которых была обнаружена данная уязвимость, опубликован в разделе «Рекомендации по безопасности» на сайте

Поскольку многие партнеры компании используют оборудование из этого списка, мы настоятельно рекомендуем установить обновление, чтобы обеспечить соблюдение протоколов безопасности.

В связи с этим инцидентом хотим рассказать подробнее о мерах, предпринимаемых Hikvision для обеспечения кибербезопасности. В июне 2021 года с представителями Hikvision связался специалист по безопасности, назвавшийся Watchful IP. Он сообщил о существовании потенциальной уязвимости в одной из камер Hikvision. После подтверждения этого инцидента Hikvision напрямую связалась с данным специалистом, чтобы разобраться в проблеме и исправить ее в соответствии со Стандартным Протоколом Обнаружения (Coordinated Disclosure Process).

В настоящий момент, уязвимость, о которой шла речь, исправлена в последней прошивке, доступной для скачивания на сайте Hikvision.

Hikvision входит в число партнеров CVE Numbering Authority (CNA). Это значит, что компания собирает информацию об общеизвестных уязвимостях информационной безопасности и сотрудничает со сторонними специалистами и исследователями безопасности, для своевременного нахождения, исправления, публикации информации об уязвимостях и выпуска обновлений продуктов с учетом существующих киберугроз.

Hikvision строго соблюдает законы и правила, действующие во всех странах и регионах своего присутствия. Работа по обеспечению безопасности выпускаемых продуктов всегда отвечает требованиям, установленным государственными организациями.

Уведомление о безопасности: уязвимость ввода команд в некоторых продуктах Hikvision

Дата разработки: 1 сентября 2021 года

Изменения внесены: Центром реагирования на угрозы безопасности Hikvision Дата первого выпуска: 19 сентября 2021 года

Резюме:
Уязвимость ввода команд на веб-сервере для некоторых продуктов Hikvision. Из-за недостаточной проверки ввода злоумышленник может воспользоваться уязвимостью, чтобы совершить атаку, отправив сообщения с вредоносными командами.

Идентификационный номер (ID CVE): CVE-2021-36260

Оценка уязвимости: При подсчете баллов используется CVSS v3（http://www.first.org/cvss/specification-document）

Базовая оценка: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Временная оценка: 8.8 (E:P/RL:O/RC:C)

Затронутые и исправленные версии:
Информация о затронутых и решенных версиях вы можете узнать здесь

Условие для атаки:

Злоумышленник имеет доступ к сети устройства или устройство напрямую подключено к интернету.

Суть атаки: Отправка специально созданного сообщения.

Как получить исправленную прошивку: Пользователи должны загрузить обновленную прошивку, чтобы защититься от потенциальной уязвимости.

Она доступна на официальном сайте Hikvision: загрузка прошивки

Прошивка DS-7116NI-Q1/M(C) доступна по ссылке: https://one.hikvision.com/#/link/MmEPfVQK1xloRUz7hNEo

Extract passwords: Rnv9

Источник информации об уязвимости: Об этой уязвимости сообщил британский специалист по информационной безопасности Watchful IP.

Контакты для связи: Если у вас возникли проблемы с информационной безопасностью, обратитесь в Центр реагирования на угрозы безопасности Hikvision Kazakhstan по адресу support@hikvision.kz

Источник: https://hikvision.ru