Идентификатор: BDU:2023-00035.
Наименование уязвимости: Уязвимость обработчика пакетов централизованной системы управления оборудованием видеонаблюдения Dahua DSS Professional, DSS Express, серверов для управления видеонаблюдением DHI-DSS4004-S2/DHI-DSS7016D-S2/DHI-DSS7016DR-S2, позволяющая нарушителю загрузить произвольные файлы в систему.
Описание уязвимости: Уязвимость обработчика пакетов централизованной системы управления оборудованием видеонаблюдения Dahua DSS Professional, DSS Express, серверов для управления видеонаблюдением DHI-DSS4004-S2/DHI-DSS7016D-S2/DHI-DSS7016DR-S2 связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загрузить произвольные файлы в систему
Уязвимое ПО: Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Professional 7.002.1760000.2 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Professional 8.0.2 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Professional 8.0.4 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Professional 8.1 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Professional 8.1.1 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Express 1.000.175J000.2 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Express 8.0.2 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Express 8.0.4 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Express 8.1 | Сетевое средство, Сетевое программное средство Dahua Technology Co., Ltd. DSS Express 8.1.1 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016D-S2 1.001.0000001.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016D-S2 8.0.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016D-S2 8.0.4 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016D-S2 8.1 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016DR-S2 1.001.0000001.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016DR-S2 8.0.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016DR-S2 8.0.4 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS7016DR-S2 8.1 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS4004-S2 1.001.0000000.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS4004-S2 8.0.2 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS4004-S2 8.0.4 | ПО сетевого программно-аппаратного средства Dahua Technology Co., Ltd. DHI-DSS4004-S2 8.1 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 27.12.2022.
CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,7)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– использование антивирусных программных средств для отслеживания загружаемых файлов;
– минимизация пользовательских привилегий;
– мониторинг действий пользователей;
– отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
– принудительная смена паролей пользователей.
Использование рекомендаций производителя:
https://www.dahuasecurity.com/support/cybersecurity/details/1137.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-45427.
Тип ошибки CWE: CWE-434
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/ru/?id.216891
https://www.dahuasecurity.com/support/cybersecurity/details/1137
