海康威視官方已發布史上最高評級安全漏洞

1 事件背景

2021年9月21日，天防安全鯤鵬實驗室在國內第一時間監測到海康威視發布安全更新公告，修復了代號為CVE-2021-36260的漏洞，漏洞評級為9.8，是其有史以來網絡攝像機產品出現的最高危害級別漏洞。

天防安全鯤鵬實驗室在監測到此漏洞情況后，第一時間通報國家有關監管部門，公司內部積極組織技術專家進行分析研判，同時聯系多個部門骨干員工成立專項應急小組。通過幾天幾夜的努力，在多部門的緊密配合下，攻堅克難，以最快速度響應本次事件，最終形成了有效的漏洞檢測能力，強有力的支撐了國家有關部門對此次漏洞可能來帶的攝像機安全問題進行排查摸底。

2 影響范圍

根據IHS 2018年7月發布的《2018全球視頻監控信息服務報告》，海康威視位列全球視頻監控設備市場第1位，基于本次漏洞級別和海康威視視頻監控設備的市場份額，此次漏洞將會影響全球百萬級設備，可能會帶來有史以來最大影響范圍，最多監控設備數量、最高安全等級的視頻監控安全問題。對天網工程、智慧交通、智慧城市、雪亮工程、平安城市、治安防控、安防網絡等領域都將帶來網絡安全影響，政府部門敏感信息、企事業單位數據風險以及個人隱私的安全性將會受到巨大威脅。

據其披露及官方公告，以下產品的固件版本此漏洞，建議及時更新。

3 漏洞排查

天防安全是國內首家在第一時間發布了專門針對本次漏洞的檢測能力，以及具備完全檢測能力的產品---天防視頻監控網絡安全檢查工具和天慧視頻網絡安全監測平臺，能幫助對各行各業的視頻監控設備進行高效、便捷的漏洞排查。另外天倉視頻網絡漏洞補丁管理系統也第一時間收錄了海康威視這個漏洞的升級補丁。

4 漏洞修復

目前海康威視官方已發布新版本修復該漏洞，請排查后的用戶及時更新進行防護。

下載鏈接：

https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20210919/

參考資料：

1·http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202109-1602    2·https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/

3·https://www.cyber.gov.au/acsc/view-all-content/alerts/critical-vulnerability-certain-hikvision-products-ip-cameras

4·https://www.cisc.gov.au/news-media/archive/article?itemId=677

5·https://www.homeaffairs.gov.au/news-media/archive