Una vulnerabilidad de alta gravedad en HikCentral Professional podría provocar acceso no autorizado a determinadas URL.
El fabricante de equipos de videovigilancia Hikvision ha anunciado parches para dos vulnerabilidades en su sistema de gestión de seguridad HikCentral Professional.
El más importante de estos fallos es CVE-2024-25063, un error de alta gravedad que podría provocar acceso no autorizado a determinadas URL. El error afecta a HikCentral Professional versión 2.5.1 y anteriores.
“Debido a una validación insuficiente del lado del servidor, una explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener acceso a ciertas URL a las que no debería tener acceso”, señala Hikvision en su aviso .
HikCentral Professional se utiliza para gestionar vídeo, control de acceso, detección de alarmas y otros sistemas de seguridad. No está claro a qué tipo de datos podría acceder un atacante al explotar la vulnerabilidad y si puede controlar o alterar los sistemas de seguridad desde las páginas web expuestas.
El segundo error, CVE-2024-25064, tiene una clasificación de gravedad “media” porque requiere autenticación para ser explotado. Todas las iteraciones de HikCentral Professional desde la versión 2.0.0 a 2.5.1 se ven afectadas.
CVE-2024-25064 también existe debido a una validación insuficiente del lado del servidor, lo que permite que un atacante que haya iniciado sesión acceda a recursos a los que no debería tener acceso modificando los valores de los parámetros, explica Hikvision.
El fabricante chino ha dado crédito a los investigadores de seguridad Michael Dubell y Abdulazeez Omar por identificar e informar estas vulnerabilidades y dice que ha estado trabajando con ellos durante los últimos meses para corregir los errores y validar las mitigaciones.
“Si bien Hikvision no tiene conocimiento de que estas vulnerabilidades se estén explotando en el campo, alentamos a nuestros socios a trabajar con sus clientes siguiendo las pautas proporcionadas en el aviso para garantizar una higiene cibernética adecuada”, señala Hikvision en una carta de notificación enviada a sus socios.
Se recomienda a todos los clientes que apliquen los parches disponibles lo antes posible, ya que se sabe que las vulnerabilidades de los productos Hikvision han sido aprovechadas en ataques maliciosos.
Fuente: securityweek.com