PHÁT HIỆN LỖ HỔNG BẢO MẬT TRONG MỘT SỐ MÃ SẢN PHẨM HIỆU HIKVISION

THÔNG BÁO BẢO MẬT – PHÁT HIỆN LỖ HỔNG BẢO MẬT TRONG MỘT SỐ MÃ HIỆU SẢN PHẨM CỦA HIKVISION

Ngày đăng: 25-09-2021

2,161 lượt xem

THÔNG BÁO CHÍNH THỨC VỀ VIỆC XỬ LÝ LỖ HỔNG BẢO MẬT TRÊN CÁC THIẾT BỊ CAMERA IP

Mã số.: HSRC-202109-01

Chỉnh sửa bởi: Hikvision Security Response Center (HSRC) -Trung tâm phản hồi bảo mật Hikvision.

Mô tả:

Lỗ hổng chèn lệnh trong máy chủ web của một số sản phẩm Hikvision. Kiểu tấn công xác thực đầu vào, kẻ tấn công có thể khai thác lỗ hổng bằng cách chèn những thông báo độc hại..
CVE ID: (Mã danh sách lỗi bảo mật công khai)
CVE-2021-36260

Điểm số:

CVSS v3 đã thông qua công bố điểm số lỗ hổng（http://www.first.org/cvss/specification-document）
Điểm cơ bản: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Điểm tạm thời: 8.8 (E:P/RL:O/RC:C)

Mã sản phẩm	Phiên bản ảnh hưởng
DS-2CVxxx1 DS-2CVxxx5 DS-2CVxxx6	Phiên bản phát hành trước ngày 25.06.21
IPC-xxxx
DS-2CD1xx1
DS-2CD1x23 DS-2CD1x43(B) DS-2CD1x43(C) DS-2CD1x43G0E DS-2CD1x53(B) DS-2CD1x53(C)
DS-2CD1xx7G0
DS-2CD2xx6G2 DS-2CD2xx7G2
DS-2CD2x21G0
DS-2CD2xx3G2
DS-2CD3xx6G2 DS-2CD3xx7G2
DS-2CD3x21G0 DS-2CD3x51G0
DS-2CD3xx3G2
DS-2CD4xx0 DS-2CD4xx6 DS-2CD5xx7 DS-2CD5xx5 iDS-2XM6810 iDS-2CD6810
DS-2XE62x7FWD(D) DS-2XE30x6FWD(B) DS-2XE60x6FWD(B) DS-2XE62x2F(D) DS-2XC66x5G0 DS-2XE64x2F(B)
DS-2CD7xx6G0 DS-2CD8Cx6G0
KBA18(C)-83x6FWD
(i)DS-2DExxxx
(i)DS-2PTxxxx
(i)DS-2SE7xxxx
DS-2DYHxxxx
DS-DY9xxxx
PTZ-Nxxxx
DS-2DF5xxxx DS-2DF6xxxx DS-2DF6xxxx-Cx DS-2DF7xxxx DS-2DF8xxxx DS-2DF9xxxx
iDS-2PT9xxxx
iDS-2SK7xxxx iDS-2SK8xxxx
iDS-2SR8xxxx
iDS-2VSxxxx
DS-2TBxxx DS-Bxxxx DS-2TDxxxxB	Phiên bản phát hành trước ngày 02.07.21
DS-2TD1xxx-xx DS-2TD2xxx-xx
DS-2TD41xx-xx/Wx DS-2TD62xx-xx/Wx DS-2TD81xx-xx/Wx DS-2TD4xxx-xx/V2 DS-2TD62xx-xx/V2 DS-2TD81xx-xx/V2
DS-76xxNI-K1xx(C) DS-76xxNI-Qxx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-2xxMHxx(C)	V4.30.210 phát hành ngày 24.12.20 – V4.31.000 phát hành ngày 05.11.21
DS-71xxNI-Q1xx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-1xxHxx(C)	V4.30.300 phát hành ngày 21.02.21 – V4.31.100 phát hành ngày 05.11.21

Khả năng khai thác:

Kẻ tấn công có khả năng truy cập vào mạng thiết bị hoặc thiết bị có liên kết trực tiếp với internet.

Bước tấn công:

Phiên bản xử lý:

Người dùng nên tải xuống phiên bản cập nhật để đề phòng lỗ hổng tiềm ẩn này. Phiên bản cập nhật có sẵn trên web chính thức của Hikvision.