💙💛 Мы работаем! А путлер - П@Ц! 🐷
25.09.2021

Уязвимость удаленного выполнения кода в некоторых продуктах Hikvision!

Уважаемые покупатели, партнеры и все наши друзья! В некоторых IP-видеокамерах и NVR видеорегистраторах Hikvision найдена уязвимость внедрения команд на веб-сервере. Из-за недостаточной проверки ввода злоумышленник может использовать уязвимость для запуска атаки с внедрением команд, отправив некоторые сообщения с вредоносными командами.

CVE-2021-36260 (HSRC-202109-01)

Уведомление о проблемах с безопасностью размещено на официальном сайте Hikvision (на английском языке), там же и список моделей с уязвимостью, CVE ID уязвимости - CVE-2021-36260.

Как обнаружена уязвимость или сообщество не дремлет!

Уязвимость обнаружена еще 20 июня 2021 системным администратором и специалистом в области сетевой безопасности аkа Watchful_IP. У себя в аккаунте на Github он подробно описал и тайм лайн и суть проблемы (на английском языке - article has been written for a technical audience).

Большинство последних моделей IP-камер Hikvision подвержены критической уязвимости удаленного выполнения кода без аутентификации даже с последней прошивкой (по состоянию на 21 июня 2021 года). Некоторые старые модели затронуты еще как минимум в 2016 году. Некоторые сетевые видеорегистраторы (NVR) также затронуты, хотя это менее распространено.

Это позволяет злоумышленнику получить полный контроль над устройством с неограниченной корневой оболочкой, которая имеет гораздо больший доступ, чем даже владелец устройства, поскольку они ограничены ограниченной "защищенной оболочкой" (psh), которая фильтрует ввод до предопределенного набора. ограниченных, в основном информационных команд.

Список моделей и версии прошивки с уязвимостью CVE-2021-36260 (HSRC-202109-01)

19 сентября 2021 на сайте Hikvision опубликовали список устройств с уязвимостью CVE-2021-36260, а 23-го и 24-го сентября список моделей был обновлен.

Модель

Версия / Версии с уязвимостью

DS-2CVxxx1
DS-2CVxxx6

Versions which Build time before 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0

DS-2CD1x23G0E(C)
DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

Versions which Build time before 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 Build201224 - V4.31.000 Build210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 Build210221 - V4.31.100 Build210511

  • Уязвимость удаленного выполнения кода в некоторых продуктах Hikvision!

ТОП 10 Новости


ТОП 10 Блог

Последние новости


Новая беспроводная серия IP-камер от Dahua!
04.03.2024

Новая беспроводная серия IP-камер от Dahua!

Уважаемые покупатели, партнеры и все наши друзья! Новые беспроводные Wi-Fi IP-камеры от Dahua - серии Hero, Turret, Bullet, Dome, Picoo Series.
Новинки Ruijie в нашем интернет магазине!
21.02.2024

Новинки Ruijie в нашем интернет магазине!

Уважаемые покупатели, партнеры и все наши друзья! В нашем интернет магазине для заказа доступно новое оборудование под брендом Ruijie!
С наступающими праздниками + наш график работы!
21.12.2023

С наступающими праздниками + наш график работы!

Уважаемые покупатели, партнеры и все наши друзья! Поздравляем Вас с наступающим Рождеством и Новым годом! Ознакомьтесь с нашим графиком работы в праздничные дни.
Киевстар снова упал :-( Наши альтернативные каналы связи!
20.12.2023

Киевстар снова упал :-( Наши альтернативные каналы связи!

Уважаемые покупатели, партнеры и все наши друзья! Наш контактный номер на Киевстаре (098 198-07-20) снова не доступен, но не КС единым - у нас есть альтернативные каналы для связи!