CVE-2021-36260

Суть уязвимости

Уязвимость (CVE-2021-36260) позволяет удаленному злоумышленнику выполнить произвольные команды на операционной системе камеры Hikvision через веб-интерфейс. Это возможно из-за недостаточной проверки входных данных в определенных HTTP-запросах к веб-серверу устройства. Атакующий может отправить специально сформированный запрос, который приведет к выполнению команд с привилегиями веб-сервера.

Как исправить

Установите официальное обновление прошивки от Hikvision, которое устраняет эту уязвимость. Необходимая версия зависит от конкретной модели камеры.

1. Определите текущую версию прошивки: Перейдите в веб-интерфейс камеры (http://<IP-адрес_камеры>), авторизуйтесь и найдите раздел Конфигурация → Система → Обслуживание системы → Информация о системе.
2. Найдите и установите патч: На официальном портале Hikvision (https://www.hikvision.com/) в разделе поддержки найдите свою модель и скачайте последнюю версию прошивки. Критически важные версии, содержащие исправление:
   • Для большинства уязвимых моделей — прошивка версии V5.5.800 build 220725 или новее.
   • Для некоторых старых моделей (например, на базе SDK V5.3.0-V5.5.0) — версия V5.5.160 build 220401 или новее.
3. Обновите прошивку: В веб-интерфейсе перейдите в Конфигурация → Система → Обслуживание системы → Обновление. Загрузите скачанный файл и запустите процесс.

Временное решение

Если немедленное обновление невозможно, изолируйте уязвимые устройства и ограничьте доступ к ним.

1. Сетевой сегмент и ACL: Поместите все камеры Hikvision в изолированную VLAN. Настройте правила межсетевого экрана (ACL), чтобы заблокировать ВЕСЬ входящий интернет-трафик к камерам и разрешить доступ к их веб-интерфейсу только с определенных IP-адресов администраторов. bash # Пример правила iptables для Linux-шлюза, разрешающего доступ только с trusted_net (например, 10.0.10.0/24) iptables -A FORWARD -s 0.0.0.0/0 -d <IP_подсети_камер> -p tcp --dport 80 -j DROP iptables -A FORWARD -s trusted_net/24 -d <IP_подсети_камер> -p tcp --dport 80 -j ACCEPT
2. WAF (Web Application Firewall): Разместите перед камерами WAF (например, ModSecurity) с правилами, блокирующими шаблоны командной инъекции (инъекции shell-команд через параметры запросов).
3. Отключение веб-доступа: Если веб-интерфейс не используется для ежедневного администрирования, отключите HTTP/HTTPS-сервис на камере через конфигурацию. Управление в этом случае должно осуществляться только через безопасное внутреннее ПО (например, Hikvision iVMS-4200).