English
Liên quan đến việc xử lý lỗ hổng bảo mật trên một số mã sản phẩm camera IP của Hivision được phát hiện vào tháng 6 /2021, Trung Tâm Phản Ứng An Ninh Mạng Hikvision (HSRC) đã liên hệ & làm việc cùng với chuyên gia bảo mật có tên là Watchful IP – người phát hiện ra lỗ hổng nghiêm trọng này, đồng thời tuân theo Quy trình tiết lộ phối hợp tiêu chuẩn để vá lỗi và được xác minh là đã thành công trong việc hạn chế lỗ hổng bảo mật này.
I. Chi tiết về lỗ hỏng bảo mật
- Mã số: HSRC-202109-01
- Chỉnh sửa bởi: Hikvision Security Response Center (HSRC) -Trung tâm phản hồi bảo mật Hikvision.
- Ngày phát hành: 2021-09-19
- CVE ID (Mã danh sách lỗi bảo mật công khai): CVE-2021-36260
- Điểm số: CVSS v3 đã thông qua công bố điểm số lỗ hổng(http://www.first.org/cvss/specification-document). Điểm cơ bản: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Điểm tạm thời: 8.8 (E:P/RL:O/RC:C)
- Khả năng khai thác: Kẻ tấn công có khả năng truy cập vào mạng thiết bị hoặc thiết bị có liên kết trực tiếp với internet.
- Bước tấn công: Gửi một tin nhắn có thiết kế đặc biệt.
- Nguồn thông tin về lỗ hổng bảo mật: Lỗ hổng bảo mật này được báo cáo cho HSRC bởi nhà nghiên cứu bảo mật Watchfull IP của Vương quốc Anh
- Mô tả: Lỗ hổng chèn lệnh trong máy chủ web của một số sản phẩm Hikvision. Kiểu tấn công xác thực đầu vào, kẻ tấn công có thể khai thác lỗ hổng bằng cách chèn những thông báo độc hại.
II. Danh sách thiết bị lỗi bảo mật CVE-2021-36260
| Stt | Mã sản phẩm | Phiên bản ảnh hưởng |
|---|---|---|
| 1 | DS-2CVxxx1 DS-2CVxxx5 DS-2CVxxx6 | Phiên bản phát hành trước ngày 25/06/2021 |
| 2 | IPC-xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 3 | DS-2CD1xx1 | Phiên bản phát hành trước ngày 25/06/2021 |
| 4 | DS-2CD1x23 DS-2CD1x43(B) DS-2CD1x43(C) DS-2CD1x43G0E DS-2CD1x53(B) DS-2CD1x53(C) | Phiên bản phát hành trước ngày 25/06/2021 |
| 5 | DS-2CD1xx7G0 | Phiên bản phát hành trước ngày 25/06/2021 |
| 6 | DS-2CD2xx6G2 DS-2CD2xx7G2 | Phiên bản phát hành trước ngày 25/06/2021 |
| 7 | DS-2CD2x21G0 | Phiên bản phát hành trước ngày 25/06/2021 |
| 8 | DS-2CD2xx3G2 | Phiên bản phát hành trước ngày 25/06/2021 |
| 9 | DS-2CD3xx6G2 DS-2CD3xx7G2 | Phiên bản phát hành trước ngày 25/06/2021 |
| 10 | DS-2CD3xx7G0E | Phiên bản phát hành trước ngày 25/06/2021 |
| 11 | DS-2CD3x21G0 DS-2CD3x51G0 | Phiên bản phát hành trước ngày 25/06/2021 |
| 12 | DS-2CD3xx3G2 | Phiên bản phát hành trước ngày 25/06/2021 |
| 12 | DS-2CD4xx0 DS-2CD4xx6 DS-2CD5xx7 DS-2CD5xx5 iDS-2XM6810 iDS-2CD6810 | Phiên bản phát hành trước ngày 25/06/2021 |
| 14 | DS-2XE62x7FWD(D) DS-2XE30x6FWD(B) DS-2XE60x6FWD(B) DS-2XE62x2F(D) DS-2XC66x5G0 DS-2XE64x2F(B) | Phiên bản phát hành trước ngày 25/06/2021 |
| 15 | DS-2CD7xx6G0 DS-2CD8Cx6G0 | Phiên bản phát hành trước ngày 25/06/2021 |
| 16 | KBA18(C)-83x6FWD | Phiên bản phát hành trước ngày 25/06/2021 |
| 17 | (i)DS-2DExxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 18 | (i)DS-2PTxxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 19 | (i)DS-2SE7xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 20 | DS-2DYHxxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 21 | DS-DY9xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 22 | PTZ-Nxxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 23 | DS-2DF5xxxx DS-2DF6xxxx DS-2DF6xxxx-Cx DS-2DF7xxxx DS-2DF8xxxx DS-2DF9xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 24 | iDS-2PT9xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 25 | iDS-2SK7xxxx iDS-2SK8xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 26 | iDS-2SR8xxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 27 | iDS-2VSxxxx | Phiên bản phát hành trước ngày 25/06/2021 |
| 28 | DS-2TBxxx DS-Bxxxx DS-2TDxxxxB | Phiên bản phát hành trước ngày 02/07/2021 |
| 29 | DS-2TD1xxx-xx DS-2TD2xxx-xx | Phiên bản phát hành trước ngày 02/07/2021 |
| 30 | DS-2TD41xx-xx/Wx DS-2TD62xx-xx/Wx DS-2TD81xx-xx/Wx DS-2TD4xxx-xx/V2 DS-2TD62xx-xx/V2 DS-2TD81xx-xx/V2 | Phiên bản phát hành trước ngày 02/07/2021 |
| 31 | DS-76xxNI-K1xx(C) DS-76xxNI-Qxx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-2xxMHxx(C) | V4.30.210 phát hành ngày 24/12/2021 V4.31.000 phát hành ngày 05/11/2021 |
| 32 | DS-71xxNI-Q1xx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-1xxHxx(C) | V4.30.300 phát hành ngày 21/02/2021 V4.31.100 phát hành ngày 05/11/2021 |
III. Phiên bản Firmware xử lý
Người dùng nên tải xuống phiên bản cập nhật để đề phòng lỗ hổng tiềm ẩn này. Phiên bản cập nhật có sẵn trên web chính thức của Hikvision.
Link tải xuống : Firmware download
IV. Thông báo của Hikvision Việt Nam
Theo đó, vào ngày 18 tháng 9 vừa qua, Hikvision đã đăng tải Thông báo bảo mật liên quan đến Lỗ hổng bảo mật nghiêm trọng trên máy chủ web trong một số mã hiệu sản phẩm của Hikvision trên website chính thức. Các phiên bản phần mềm (firmware) ngay lập tức được cập nhật để khắc phục sự cố này.
Bên cạnh đó, với tư cách là thành viên CVE Numbering Authority (CNA) Hikvision đã cam kết tiếp tục làm việc với các bên thứ ba là nhà nghiên cứu bảo mật và tin-tặc-mũ-trắng để tìm, vá, tiết lộ và phát hành các bản cập nhật cho các sản phẩm một cách kịp thời, tương xứng với tư cách nhóm quản lý lỗ hổng bảo mật CVE CNA.
