Çin merkezli Video gözetim ekipmanı üreticisi, depolama ürünlerinde tehdit aktörlerinin yönetici izinleri almasına izin veren kritik bir kusur olduğunu açıkladı. Bu kusur, etkilenen cihazlara özel hazırlanmış mesajlar gönderilerek kullanılabilir.
CVE-2023-28808: Depolama Ürünlerinde Hatalı Erişim Kontrolü
CVSS Puanı: 9.1
CVSS Vektörü : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Hikvision’ın Hibrit SAN/Küme depolaması gibi bazı Depolama ürünlerinde, etkilenen cihazlara özel hazırlanmış bir mesaj gönderilerek yararlanılabilecek bir erişim denetimi güvenlik açığı bulunur.
Etkilenen Sürümler:
| Ürün adı | Etkilenen Sürümler | Yamayı İndirin | Kullanım kılavuzu |
| DS-A71024/48/72R | V2.3.8-8’in altındaki sürümler (V2.3.8-8 dahil) | Hibrit SAN-230407.zip’in Güvenlik Açıklarını Düzeltme | Hibrit SAN_230410 Güvenlik Açığı Düzeltme Kullanıcı Kılavuzu |
| DS-A80624S | |||
| DS-A81016S | |||
| DS-A72024/72R | |||
| DS-A80316S | |||
| DS-A82024D | |||
| DS-A71024/48R-CVS | V1.1.4’ün altındaki sürümler (V1.1.4 dahil) | Cluster Storage-230407.zip’teki Güvenlik Açıklarını Düzeltme | Cluster_230410 Güvenlik Açığı Düzeltme Kullanıcı Kılavuzu |
Kaynak: Hikvision
Bu güvenlik açığından yararlanmak için, tehdit aktörünün etkilenen cihazlara özel hazırlanmış bir mesaj göndermek için ağa zaten erişimi olmalıdır.
Nasıl Yükseltilir
Güvenlik açığı bulunan tüm cihazlar için güncellemeler mevcuttur. Hikvision, kullanıcıların sürümü yükseltmek için “Internet Explorer” kullanmasını istedi.
İndirme paketi, savunmasız tüm ürünler için mevcuttur. Paket aşağıda gösterildiği gibi 4 dosyadan oluşmaktadır.
Kaynak: Hikvision
Cihazların sürümünü yükseltmek için kullanıcılar aşağıdaki adımları takip edebilir.
Aşama 1: Web sayfasında oturum açın (http://
Adım 2: (3) resimde gösterildiği gibi yükseltmeyi seçin ve “storos-step1-CheckMd5_for_CVR-V1.0-915.bin” indirilen paketten.
Not: Yükseltme ilk denemede başarısız olursa yükseltmeyi denemeyin. Hikvision, kullanıcılarını HK Teknik Destek ekibiyle iletişime geçmeleri konusunda bilgilendirdi.
Yukarıda belirtilen savunmasız ürünler için mevcut tüm paketler için bu yükseltmeleri tekrarlayın. Daha fazla bilgi için, Hikvision’dan Hibrit SAN ve Küme Depolama için kullanıcı kılavuzunu yükseltme adımlarını lütfen izleyin.
Güvenlik Açığı Raporlayıcısına Krediler
Bu güvenlik açığı, CERT-In’in yardımıyla Hindistan’daki Redinent Innovations ekibinden Souvik Kandar adlı bir Hintli Güvenlik araştırmacısı tarafından Hikvision’a bildirildi.
Kuruluşlar neden Birleşik uç nokta yönetimine ihtiyaç duyar? –
İndirmek Ücretsiz E-kitaplar ve Teknik İncelemeler
İlgili Okuma: