CSIRT Toscana Vulnerabilità in prodotti Hikvision (AL04/240403/CSIRT-ITA)
Data:
3 Aprile 2024 11:46
Sintesi
Rilevate 3 vulnerabilità in alcuni Network Video Recorder (NVR) di Hickvision, di cui una con gravità “alta”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente autenticato con privilegi amministrativi di eseguire comandi arbitrari sui dispositivi interessati.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (54,1/100)1.
Tipologia
- Arbitrary Code Execution
Prodotti e versioni affette
DS-7604NI-K1 / 4P(B)
- versione 4.30.096 build221220 e precedenti
DS-76xxNI-Mx, DS-77xxNI-Mx, DS-96xxxNI-Mxx, DS-76xxNXI-Ix, DS-77xxNXI-Ix, DS-86xxNXI-Ix, DS-96xxNXI-Ix, iDS-76xxNXI-Mx, iDS-77xxNXI-Mx, iDS-96xxxMXI-Mxx
- versioni precedenti alla alla 5.02.006
DS-7604NI-M1/4P
- 5.x, versioni precedenti alla 5.01.070
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
Riferimenti
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.