918博天堂·(中国区)首页

    Vulnérabilité de sécurité dans certains produits de contrôle d'accès et d'intercom Hikvision

    Vulnérabilité de sécurité dans certains produits de contrôle d'accès et d'intercom Hikvision

    SN No. HSRC-202306-01

    Editeur : HSRC (Centre de réponse de sécurité Hikvision) :

    Date de sortie initiale 2023-06-14

     

    Résumé :

    Certains produits de contrôle d'accès/intercom de Hikvision présentent les vulnérabilités de sécurité suivantes :

     

    (1) Certains produits de contrôle d'accès sont vulnérables à une attaque par détournement de session car le produit ne met pas à jour l'identifiant de session après qu'un utilisateur se soit connecté avec succès. Pour exploiter cette vulnérabilité, les attaquants doivent demander l'identifiant de session en même temps qu'un utilisateur valide se connecte, et obtenir des autorisations de fonctionnement du dispositif en falsifiant l'IP et l'identifiant de session d'un utilisateur authentifié.

     

    (2) Certains produits de contrôle d'accès et d'interphonie présentent des vulnérabilités liées à la modification non autorisée de la configuration du réseau de l'appareil. Les attaquants peuvent modifier la configuration du réseau de l'appareil en envoyant des paquets de données spécifiques à l'interface vulnérable au sein du même réseau local.

     

    CVE ID:

    CVE-2023-28809 

    CVE-2023-28810

     

    Notation

    CVSS v3 est adopté dans cette notation de vulnérabilité. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Notation de base : 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Score temporel  : 6.7 (/E:P/RL:O/RC:C)

    CVE-2023-28810

    Notation de base : 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Score temporel  : 3.9 (E:P/RL:O/RC:C)

     

    Versions concernées et corrections:

    Nom du produit Vuls concernées Versions affectées

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Versions inférieures V1.4.0_build221212 (dont V1.4.0)

    DS-K1T341AXX

    Versions inférieures V3.2.30_build221223 (dont V3.2.30)

    DS-K1T671XXX

    Versions inférieures V3.2.30_build221223 (dont V3.2.30)

    DS-K1T343XXX

    Versions inférieures V3.14.0_build230117 (dont V3.14.0)

    DS-K1T341C

    Versions inférieures V3.3.8_build230112 (dont V3.3.8_build230112)

    DS-K1T320XXX

    Versions inférieures V3.5.0_build220706 (dont V3.5.0)

    DS-KH63 Series
    DS-KH85 Series

    CVE-2023-28810

    Versions inférieures V2.2.8_build230219 (dont V2.2.8)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Versions inférieures V2.1.76_build230204 (dont V2.1.76)

    Obtention de versions corrigées

    Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision afin de remédier à ces vulnérabilités

    Source d'informations sur la vulnérabilité :

    Ces vulnérabilités ont été signalées au HSRC par Andres Hinnosaar, avec le soutien du CCDCOE de l'OTAN et de Peter Szot de Skylight Cyber.

     

    Contactez-nous

    Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter Hikvision Security Response Center à l'adresse hsrc@hrbaojie.com.

     

    Hikvision tient à remercier tous les chercheurs en sécurité qui s'évertuent à identifier et à atténuer les éventuelles vulnérabilités de nos produits afin de garantir que nos solutions protègent les personnes, les lieux et les actifs tout en protégeant les données des utilisateurs.

    Contactez-Nous
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro
    back to top

    Get a better browsing experience

    You are using a web browser we don』t support. Please try one of the following options to have a better experience of our web content.

    • browser-chorme
    • browser-edge
    • browser-safari
    • browser-firefox