Beveiligingnieuws Logo

Onze partners

Masset Solutions

VBN

Alphatronics

Explicate

Lobeco

20face

VEB

Nenova

Paxton

Service Centrale Nederland

NIBHV

Top Security

Seagate

ASSA ABLOY

Hanwha Vision Europe

OSEC

IDIS

Aritech

BHVcertificaat.online

Brivo

NetworxConnect

Sequrix

Akuvox

Hikvision

Unii

Securitas

Advancis

SmartSD

Bosch Security Systems

Alarm Meldnet

SMC Alarmcentrale

Crown Security Services

VAIBS

Centurion

Connect Security

2N

Traka ASSA ABLOY

MOBOTIX

ARAS

Bydemes

Paraat

PG Security Systems

Genetec

HD Security

Regio Control Veldt

Kiwa

Eizo

Network Optix

Seris

Oribi ID Solutions

Multiwacht

VVNL

VideoGuard

HID

Avigilon Alta

Distri Company

Milestone

SmartCell

CardAccess

G4S

Secusoft

Optex

DZ Technologies

Gold-IP

SOBA

Trigion

Dero Security Products

Eagle Eye Networks

Uniview

i-Pro

CSL

Ajax Systems

ADI

Add Secure

CDVI

ASIS

EAL

Belangrijke veiligheidsupdate voor sommige Hikvision-camera’s

22 september 2021
Redactie
08:11

Hikvision komt met bijgewerkte firmware die een door een ethisch hacker ontdekt beveiligingsrisico verhelpt. Het is voor een aantal cameramodellen belangrijk dat deze firmware zo snel mogelijk wordt geïnstalleerd. Deze beschermt de camera’s tegen zogenoemde command injections.

Hikvision werd in juni 2021 benaderd door een ethisch hacker, die onder de naam Watchful IP actief is. Deze waarschuwde de fabrikant dat hij een belangrijke kwetsbaarheid had ontdekt in de software van een aantal camera’s. Volgens het standaard ‘Coordinated Disclosure Process’ ging Hikvision samen met de onderzoeker aan de slag om de kwetsbaarheid te verhelpen. Vervolgens werd uitvoerig gecontroleerd of command injections niet langer mogelijk waren.

Vergaande mogelijkheden
Het ging om een zogenoemde zero-click-kwetsbaarheid. In een IP-bewakingscamera kan een niet-geverifieerde aanvaller hiermee volledige toegang krijgen tot het apparaat en mogelijk interne netwerken. De onderzoeker gaf details vrij over de niet-geverifieerde remote code-uitvoering (RCE)-bug in bepaalde producten van Hikvision. Het beveiligingslek, getraceerd als CVE-2021-36260, werd bekroond met 9,8 op de CVSS-schaal van ernst. Dat betekent dat een hacker zelfs meer kan dan de eigenaar van het apparaat. Op gevoelige locaties zou zelfs de vitale infrastructuur gevaar lopen. Het lek zou al sinds 2016 bestaan, maar het is niet bekend of er misbruik van is gemaakt.

White hat-hackers
Hikvision is een CVE Numbering Authority (CNA) en werkt samen met white hat-hackers en externe beveiligingsonderzoekers om kwetsbaarheden in de beveiliging van producten te ontdekken en te verhelpen. Dit gebeurt in overeenstemming met de vulnerability management teams van de CVE CNA-partnerbedrijven. De fabrikant voldoet ook strikt aan de toepasselijke wet- en regelgeving in alle landen en regio’s waar hij actief is en doet al het mogelijke om de veiligheid van de producten te garanderen.

Deel dit artikel via:

Integratierisico's

Premium partners

Seagate

Aritech

Distri Company

Suricat

Videoguard

SequriX

Wordt een partner