Anfang März 2024 wurden zwei Sicherheitslücken in Hikvision’s zentralisierter Sicherheitsmanagementplattform HikCentral Professional bekannt. Die Plattform wird weltweit von unzähligen Kunden genutzt, um Vermögenswerte und Eigentum zu schützen. Die potenziellen Schwachstellen hätten weitreichende Folgen haben können, denn HikCentral Professional genießt das Vertrauen von Klienten in über 200 Ländern und verbindet mehr als 5 Millionen Geräte in einer einzigen Schnittstelle.
Eine der Schwachstellen, identifiziert als CVE-2024-25063 mit einem CVSS-Score von 7,5, resultierte aus unzureichender Serverseitenvalidierung, die es einem Angreifer ermöglicht hätte, unbefugten Zugriff auf bestimmte URLs zu erlangen. Man könnte sagen, dass dies einem Eindringling erlaubt hätte, Sicherheitskontrollen zu umgehen, um in gesperrte Bereiche zu gelangen. Die andere Schwachstelle, CVE-2024-25064 mit einem CVSS-Score von 4,3, wurde ebenfalls durch unzureichende Validierung verursacht und könnte es einem Angreifer mit bestehenden Anmeldeprivilegien ermöglicht haben, auf Ressourcen zuzugreifen, die über seine autorisierten Berechtigungen hinausgehen.
Hikvision hat auf diese Meldung der Lücken durch die Sicherheitsforscher Michael Dubell und Abdulazeez Omar reagiert, indem es Updates bereitgestellt hat, um diese Schwachstellen zu beheben. CVE-2024-25063 betrifft Versionen unter V2.5.1, während CVE-2024-25064 Versionen zwischen V2.0.0 und V2.5.1 betrifft. Nutzer von HikCentral Professional sollten unverzüglich handeln und ihre Systeme aktualisieren, um den Schutz ihrer Netzwerke zu gewährleisten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: