主页  >  举报指南  |  法律法规  |  温馨提示  |  曝光台  |  报警查询  |  我要报警
网络与信息安全情况通报-2017年第20期
2017年8月26日    |   阅读:85   |   录入:btq
 
   
 

关于海康威视与大华股份多款网络摄像机

产品存在身份认证绕过与配置文件

密码泄露等高危漏洞的通报

 

近期,国家信息安全漏洞共享平台(CNVD)收录了海康威视与大华股份网络摄像机存在身份认证绕过漏洞、配置文件密码泄露等高危漏洞(CNVD-2017-06977CNVD-2017-08191CNVD-2017-08192CNVD-2017-06997)。综合利用上述漏洞,远程攻击者可利用漏洞提升权限或假冒其他用户身份获取敏感信息,并控制网络设备。由于漏洞利用较为简单,有可能被黑客组织利用于传播网络病毒。

 

 

漏洞编号

漏洞描述

主要影响产品

CNVD-2017-06977CVE-2017-7921 

海康威视多个网络摄像机产品存在身份认证不当漏洞,应用程序没有充分或正确地验证用户,则会出现不正确的身份验证漏洞。可能会允许攻击者在系统上升级其权限,并获取敏感信息。

Hikvision Digital Technology DS-2DFx Series 5.4.5 Build 160928

Hikvision Digital Technology DS-2DFx Series 5.2 build 140805

Hikvision Digital Technology DS-2CD63xx Series 5.3.5 Build 160106

Hikvision Digital Technology DS-2CD63xx Series 5.0.9 build 140305

Hikvision Digital Technology DS-2CD4xx5 Series 5.4 Build 160421

Hikvision Digital Technology DS-2CD4xx5 Series 5.2 build 140721

Hikvision Digital Technology DS-2CD4x2xFWD Series 5.4 Build 160414

Hikvision Digital Technology DS-2CD4x2xFWD Series 5.2 build 140721

Hikvision Digital Technology DS-2CD2xx2FWD Series 5.4.4 Build 161125

Hikvision Digital Technology DS-2CD2xx2FWD Series 5.3.1 build 150410

Hikvision Digital Technology DS-2CD2xx2F-I Series 5.4 build 160530

Hikvision Digital Technology DS-2CD2xx2F-I Series 5.2 build 140721

Hikvision Digital Technology DS-2CD2xx0F-I Series 5.4 Build 160401

Hikvision Digital Technology DS-2CD2xx0F-I Series 5.2 build 140721

CNVD-2017-08191CVE-2017-7923 

海康威视多款摄像机被发现密码直接保存在配置文件中,攻击者可以利用该漏洞导致用户可提升权限或假冒另一用户的身份,从而访问敏感信息。 

DS-2CD2xx2F-I Series V5.2.0 build 140721 to V5.4.0 Build 160530

DS-2CD2xx0F-I Series V5.2.0 build 140721 to V5.4.0 Build 160401

DS-2CD2xx2FWD Series V5.3.1 build 150410 to V5.4.4 Build 161125

DS-2CD4x2xFWD Series V5.2.0 build 140721 to V5.4.0 Build 160414

DS-2CD4xx5 Series V5.2.0 build 140721 to V5.4.0 Build 160421

DS-2DFx Series V5.2.0 build 140805 to V5.4.5 Build 160928

DS-2CD63xx Series V5.0.9 build 140305 to V5.3.5 Build 160106

CNVD-2017-08192CVE-2017-7925

 

大华(Dahua)多款数字录像机和IP摄像机被发现密码直接保存在配置文件中,攻击者可利用该漏洞假冒特权用户的身份并获得对敏感信息的访问权。

 

DH-IPC-HDBW23A0RN-ZS,DH-IPC-HDBW13A0SN, DH-IPC-HDW1XXX, DH-IPC-HDW2XXX, DH-IPC-HDW4XXX, DH-IPC-HFW1XXX, DH-IPC-HFW2XXX, DH-IPC-HFW4XXX, DH-SD6CXX, DH-NVR1XXX, DH-HCVR4XXX, DH-HCVR5XXX, DHI-HCVR51A04HE-S3,DHI-HCVR51A08HE-S3,and DHI-HCVR58A32S-S2

CNVD-2017-06997CVE-2017-7927

大华(Dahua)的多款网络摄像机存在身份验证漏洞。设备使用用户密码hash值替代密码本身来验证身份,这可能允许攻击者不获得实际密码的情况下绕过身份验证,获得设备权限。

 

Dahuasecurity DHI-HCVR58A32S-S2 0

Dahuasecurity DHI-HCVR51A08HE-S3 0

Dahuasecurity DHI-HCVR51A04HE-S3 0

Dahuasecurity DH-SD6CXX 0

Dahuasecurity DH-NVR1XXX 0

Dahuasecurity DH-IPC-HFW4XXX 0

Dahuasecurity DH-IPC-HFW2XXX 0

Dahuasecurity DH-IPC-HFW1XXX 0

Dahuasecurity DH-IPC-HDW4XXX 0

Dahuasecurity DH-IPC-HDW2XXX 0

Dahuasecurity DH-IPC-HDW1XXX 0

Dahuasecurity DH-IPC-HDBW23A0RN-ZS 0

Dahuasecurity DH-IPC-HDBW13A0SN 0

Dahuasecurity DH-HCVR5XXX 0

Dahuasecurity DH-HCVR4XXX 0

目前,海康威视公司和大华公司已给出了上述漏洞的安全解决方案,为确保安全,云南省网络与信息安全信息通报中心建议使用相关产品的单位及时予以升级,修复安全漏洞。若未能及时升级,建议可以通过临时关闭网络摄像机产品的远程管理界面或认证端口来防范网络攻击。

海康威视产品的下载地址为:

http://www.hikvision.com/us/about_10805.html        http://www.hikvision.com/us/about_10807.html  

大华公司产品的下载地址为:

http://us.dahuasecurity.com/en/us/Security-Bulletin_030617.php

http://us.dahuasecurity.com/en/us/Security-Bulletin_04032017.php




 
主页    |    举报指南   |   法律法规    |    温馨提示    |     曝光台    |    报警查询    |   联系我们
CopyRight © 2013 云南省公安厅网络安全保卫总队 版权所有
昆明固得派信息技术有限公司   技术支持
(建议使用IE8.0以上版本浏览器)
其它浏览器请设置在兼容模式使用