Lỗ Hổng Bảo Mật CVE-2021-36260
Kính gửi Quý đối tác, Qúy khách hàng sử dụng camera Hikvision
Hikvision đã đưa ra Lời khuyên về Lỗ hổng bảo mật CVE-2021-36260 với máy chủ web của một số sản phẩm Hikvision trên website chính thức của họ vào ngày 18 tháng 9.
Xem chi tiết :
Vào tháng 6 năm 2021, Hikvision được liên hệ với một nhà nghiên cứu bảo mật, có tên là Watchful IP, người đã báo cáo một lỗ hổng tiềm ẩn trong camera Hikvision. Sau khi chúng tôi xác nhận về báo cáo này, HIKVISION đã làm việc trực tiếp với nhà nghiên cứu để vá và được xác minh là đã thành công trong việc hạn chế lỗ hổng bảo mật được đề cập trong báo cáo.
Cho đến nay, HIKVISION chưa ghi nhận bất kỳ bằng chứng công khai nào hoặc bất kỳ hành vi nào sử dụng lỗ hổng bảo mật được mô tả trong Thông báo bảo mật với mục đích xấu.
Hiện tại, các lỗ hổng được báo cáo trực tiếp cho Hikvision và/hoặc được đưa ra công khai đều đã được vá trong phần mềm chương trình cơ sở (firmware) mới nhất, có sẵn trên website chính thức của HIKVISION.
Bản firmware cập nhật để khắc phục sự cố này cũng đã có sẵn trên trang web chính thức của Hikvision Việt Nam
Bạn cũng có thể tải firmware mới nhất từ trang web chính thức của các Nhà phân phối theo liên kết này
Danh sách các sản phẩm bị ảnh hưởng bởi lỗ hổng bảo mật có thể kiểm tra tại Tư vấn bảo mật.
Ngoài ra, Hikvision cũng là một CVE Numbering Authority (CNA)¹ và đã cam kết tiếp tục làm việc với các bên thứ ba là nhà nghiên cứu bảo mật và hacker-mũ-trắng để tìm, vá, tiết lộ và phát hành các bản cập nhật cho sản phẩm một cách kịp thời, tương xứng với tư cách nhóm quản lý lỗ hổng bảo mật CVE CNA.
Hikvision tuân thủ nghiêm ngặt các điều luật, quy định hiện hành ở tất cả các quốc gia và khu vực nơi chúng tôi hoạt động. Luôn nỗ lực không ngừng để đảm bảo an ninh an toàn cho các sản phẩm của chúng tôi vượt trên cả những gì được yêu cầu.
Nếu có bất kì thắc mắc nào, vui lòng liên hệ với Hikvision Việt Nam bằng email: Quan.trinh@hikvision.com
Trân trọng thông báo!
Hikvision Việt Nam.
——————
¹ CVE CNA là các tổ chức (Công ty, tập đoàn, viện nghiên cứu…) trên khắp thế giới được phép chỉ định ID CVE cho các lỗ hổng bảo mật ảnh hưởng đến các sản phẩm trong phạm vi riêng, đã được thỏa thuận để đưa vào các thông báo công khai đầu tiên về các lỗ hổng bảo mật mới. Các ID CVE này được cung cấp cho các nhà nghiên cứu, những người tiết lộ lỗ hổng bảo mật và các đơn vị cung cấp công nghệ thông tin.
Bài viết liên quan: