CVE-2017-7921

Hikvision Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-03-05

Официальное описание

Multiple Hikvision products contain an improper authentication vulnerability that could allow a malicious user to escalate privileges on the system and gain access to sensitive information.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2017-7921 — это критическая уязвимость обхода аутентификации (Improper Authentication) в программном обеспечении IP-камер и видеорегистраторов Hikvision. Она позволяет злоумышленнику получить полный административный доступ к устройству без знания логина и пароля.

Проблема заключается в некорректной обработке специфических HTTP-запросов. Отправляя сформированный URL-запрос (например, содержащий параметры auth=YWRtaW46YWRtaW4=), атакующий может: * Получить список всех пользователей системы. * Извлечь конфигурационные файлы. * Получить доступ к снимкам экрана (snapshot) в реальном времени. * Повысить свои привилегии до уровня администратора.

Как исправить

Единственным надежным способом устранения уязвимости является обновление прошивки (firmware) устройства до версии, в которой данная ошибка исправлена (выпущены в 2017 году и позже).

  1. Определите модель вашего устройства и текущую версию прошивки через веб-интерфейс или утилиту SADP.
  2. Скачайте актуальную версию прошивки с официального портала Hikvision или регионального сайта технической поддержки.
  3. Установите обновление через веб-интерфейс: Configuration -> System -> Maintenance -> Upgrade & Maintenance.

Для автоматизации проверки версии прошивки в Linux-среде можно использовать curl (если включен CGI):

curl -k https://[IP_ADDRESS]/System/deviceInfo

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать риск эксплуатации с помощью сетевого экранирования и изоляции.

  1. Изолируйте устройства в отдельный VLAN, не имеющий прямого доступа из интернета.
  2. Настройте правила Firewall, чтобы ограничить доступ к портам управления (обычно 80, 443, 8000) только с доверенных IP-адресов администраторов.
  3. Отключите функции UPnP и NAT на роутере, чтобы устройство не "пробрасывало" порты наружу автоматически.
  4. Используйте VPN для удаленного доступа к системе видеонаблюдения вместо прямой публикации портов в WAN.
  5. Измените стандартные порты управления (например, с 80 на произвольный порт в диапазоне 10000-65535), чтобы снизить вероятность обнаружения устройства автоматизированными сканерами.

Проверка доступности конфигурации (индикатор уязвимости):

curl -k https://[IP_ADDRESS]/System/configurationFile?auth=YWRtaW46YWRtaW4=

Если команда возвращает бинарный файл — устройство критически уязвимо.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей