Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a productos Hikvision, que permitiría a un atacante realizar omisión de autenticación y obtener acceso no autorizado al sistema afectado.
La vulnerabilidad identificada como CVE-2023-28808, de severidad “Crítica”, con una puntuación asignada de 9.1. Esta vulnerabilidad se debe a una falla de autenticación en el control de acceso de Hikvision Hybrid SAN y Hikvision Cluster Storage. Esto permitiría a un atacante con acceso de red a través del envío de mensajes especialmente diseñados, obtener permisos de administrador y el acceso no autorizado a los productos afectados.
Los productos afectados son:
- Hikvision Hybrid SAN, DS-A71024/48/72R versión 2.3.8-8 y anteriores.
- Hikvision Hybrid SAN, DS-A80624S versión 2.3.8-8 y anteriores.
- Hikvision Hybrid SAN, DS-A81016S versión 2.3.8-8 y anteriores.
- Hikvision Hybrid SAN, DS-A72024/72R versión 2.3.8-8 y anteriores.
- Hikvision Hybrid SAN, DS-A80316S versión 2.3.8-8 y anteriores.
- Hikvision Hybrid SAN, DS-A82024D versión 2.3.8-8 y anteriores.
- Hikvision Cluster Storage DS-A71024/48R-CVS versión 1.1.4 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
Referencias:
- https://www.securityweek.com/critical-vulnerability-in-hikvision-storage-solutions-exposes-video-security-data/
- https://nvd.nist.gov/vuln/detail/CVE-2023-28808
- https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-vulnerability-in-some-hikvision-hybrid-san-cluster-stor/
- https://www.hikvision.com/content/dam/hikvision/en/support/notice/security-notification-23-4-10/Fixing-Security-Vulnerability-of-Hybrid-SAN-230407.zip
- https://www.hikvision.com/content/dam/hikvision/en/support/notice/security-notification-23-4-10/Fixing-Security-Vulnerability-of-Cluster-Storage-230407.zip