Danh sách thiết bị Hikvision lỗi bảo mật CVE-2021-36260

Liên quan đến việc xử lý lỗ hổng bảo mật trên một số mã sản phẩm camera IP của Hivision được phát hiện vào tháng 6 /2021, Trung Tâm Phản Ứng An Ninh Mạng Hikvision (HSRC) đã liên hệ & làm việc cùng với chuyên gia bảo mật có tên là Watchful IP – người phát hiện ra lỗ hổng nghiêm trọng này, đồng thời tuân theo Quy trình tiết lộ phối hợp tiêu chuẩn để vá lỗi và được xác minh là đã thành công trong việc hạn chế lỗ hổng bảo mật này.

I. Chi tiết về lỗ hỏng bảo mật

  • Mã số: HSRC-202109-01
  • Chỉnh sửa bởi: Hikvision Security Response Center (HSRC) -Trung tâm phản hồi bảo mật Hikvision.
  • Ngày phát hành: 2021-09-19
  • CVE ID (Mã danh sách lỗi bảo mật công khai): CVE-2021-36260
  • Điểm số: CVSS v3 đã thông qua công bố điểm số lỗ hổng(http://www.first.org/cvss/specification-document). Điểm cơ bản: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Điểm tạm thời: 8.8 (E:P/RL:O/RC:C)
  • Khả năng khai thác: Kẻ tấn công có khả năng truy cập vào mạng thiết bị hoặc thiết bị có liên kết trực tiếp với internet.
  • Bước tấn công: Gửi một tin nhắn có thiết kế đặc biệt.
  • Nguồn thông tin về lỗ hổng bảo mật: Lỗ hổng bảo mật này được báo cáo cho HSRC bởi nhà nghiên cứu bảo mật Watchfull IP của Vương quốc Anh
  • Mô tả: Lỗ hổng chèn lệnh trong máy chủ web của một số sản phẩm Hikvision. Kiểu tấn công xác thực đầu vào, kẻ tấn công có thể khai thác lỗ hổng bằng cách chèn những thông báo độc hại.

II. Danh sách thiết bị lỗi bảo mật CVE-2021-36260

SttMã sản phẩmPhiên bản ảnh hưởng
1DS-2CVxxx1
DS-2CVxxx5
DS-2CVxxx6
Phiên bản phát hành trước ngày 25/06/2021
2IPC-xxxx Phiên bản phát hành trước ngày 25/06/2021
3DS-2CD1xx1 Phiên bản phát hành trước ngày 25/06/2021
4DS-2CD1x23
DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)
Phiên bản phát hành trước ngày 25/06/2021
5DS-2CD1xx7G0 Phiên bản phát hành trước ngày 25/06/2021
6DS-2CD2xx6G2
DS-2CD2xx7G2
Phiên bản phát hành trước ngày 25/06/2021
7DS-2CD2x21G0 Phiên bản phát hành trước ngày 25/06/2021
8DS-2CD2xx3G2 Phiên bản phát hành trước ngày 25/06/2021
9DS-2CD3xx6G2
DS-2CD3xx7G2
Phiên bản phát hành trước ngày 25/06/2021
10DS-2CD3xx7G0E Phiên bản phát hành trước ngày 25/06/2021
11DS-2CD3x21G0
DS-2CD3x51G0
Phiên bản phát hành trước ngày 25/06/2021
12DS-2CD3xx3G2 Phiên bản phát hành trước ngày 25/06/2021
12DS-2CD4xx0
DS-2CD4xx6
DS-2CD5xx7
DS-2CD5xx5
iDS-2XM6810
iDS-2CD6810
Phiên bản phát hành trước ngày 25/06/2021
14DS-2XE62x7FWD(D)
DS-2XE30x6FWD(B)
DS-2XE60x6FWD(B)
DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)
Phiên bản phát hành trước ngày 25/06/2021
15DS-2CD7xx6G0
DS-2CD8Cx6G0
Phiên bản phát hành trước ngày 25/06/2021
16KBA18(C)-83x6FWD Phiên bản phát hành trước ngày 25/06/2021
17(i)DS-2DExxxx Phiên bản phát hành trước ngày 25/06/2021
18(i)DS-2PTxxxx Phiên bản phát hành trước ngày 25/06/2021
19(i)DS-2SE7xxxx Phiên bản phát hành trước ngày 25/06/2021
20DS-2DYHxxxx Phiên bản phát hành trước ngày 25/06/2021
21DS-DY9xxxx Phiên bản phát hành trước ngày 25/06/2021
22PTZ-Nxxxx Phiên bản phát hành trước ngày 25/06/2021
23DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx
Phiên bản phát hành trước ngày 25/06/2021
24iDS-2PT9xxxx Phiên bản phát hành trước ngày 25/06/2021
25iDS-2SK7xxxx
iDS-2SK8xxxx
Phiên bản phát hành trước ngày 25/06/2021
26iDS-2SR8xxxx Phiên bản phát hành trước ngày 25/06/2021
27iDS-2VSxxxx Phiên bản phát hành trước ngày 25/06/2021
28DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB
Phiên bản phát hành trước ngày 02/07/2021
29DS-2TD1xxx-xx
DS-2TD2xxx-xx
Phiên bản phát hành trước ngày 02/07/2021
30DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2
Phiên bản phát hành trước ngày 02/07/2021
31DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx(C)
DS-HiLookI-NVR-2xxMHxx(C)
V4.30.210 phát hành ngày 24/12/2021
V4.31.000 phát hành ngày 05/11/2021
32DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx(C)
DS-HiLookI-NVR-1xxHxx(C)
V4.30.300 phát hành  ngày 21/02/2021
V4.31.100 phát hành ngày 05/11/2021

III. Phiên bản Firmware xử lý

Người dùng nên tải xuống phiên bản cập nhật để đề phòng lỗ hổng tiềm ẩn này. Phiên bản cập nhật có sẵn trên web chính thức của Hikvision.

Link tải xuống : Firmware download

IV. Thông báo của Hikvision Việt Nam

Theo đó, vào ngày 18 tháng 9 vừa qua, Hikvision đã đăng tải Thông báo bảo mật liên quan đến Lỗ hổng bảo mật nghiêm trọng trên máy chủ web trong một số mã hiệu sản phẩm của Hikvision trên website chính thức. Các phiên bản phần mềm (firmware) ngay lập tức được cập nhật để khắc phục sự cố này.

Bên cạnh đó, với tư cách là thành viên CVE Numbering Authority (CNA) Hikvision đã cam kết tiếp tục làm việc với các bên thứ ba là nhà nghiên cứu bảo mật và tin-tặc-mũ-trắng để tìm, vá, tiết lộ và phát hành các bản cập nhật cho các sản phẩm một cách kịp thời, tương xứng với tư cách nhóm quản lý lỗ hổng bảo mật CVE CNA.