Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de inyección de comandos en productos de SystemK

Fecha de publicación 26/01/2024
Identificador
INCIBE-2024-0044
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de NVR de SystemK, un grabador de vídeo en red, están afectadas:

  • NVR 504: 2.3.5SK.30084998.
  • NVR 508: 2.3.5SK.30084998.
  • NVR 516: 2.3.5SK.30084998.
Descripción

CISA descubrió una prueba de concepto (PoC) pública de la que es autor Keniver Wang, a partir de la cual documentó una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante ejecutar comandos con privilegios de root.

Solución

El fabricante no ha respondido a las peticiones de trabajar con CISA para mitigar esta vulnerabilidad. Se invita a los usuarios de las versiones afectadas de los productos NVR de SystemK a ponerse en contacto con el servicio de atención al cliente de SystemK para obtener información adicional.

Detalle

Las versiones 2.3.5SK.30084998 y anteriores de SystemK NVR 504/508/516 son vulnerables a una vulnerabilidad de inyección de comandos en la configuración del sistema dinámico de nombres de dominio (DDNS), que podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root.

Se ha asignado el identificador CVE-2023-7227 para esta vulnerabilidad.