Κρίσιμη ευπάθεια στο HIKVISION ApplyCT εκθέτει συσκευές σε επιθέσεις

Ανακάλυψη και σημασία της ευπάθειας

Μια κρίσιμη ευπάθεια ασφαλείας ανακαλύφθηκε στο στοιχείο applyCT της HIKVISION, το οποίο αποτελεί μέρος της πλατφόρμας HikCentral Integrated Security Management. Αυτή η ευπάθεια επιτρέπει σε επιτιθέμενους να εκτελούν αυθαίρετο κώδικα απομακρυσμένα, χωρίς να απαιτείται αυθεντικοποίηση. Η ευπάθεια αυτή έχει χαρακτηριστεί με τον κωδικό CVE-2025-34067 και έχει λάβει τη μέγιστη βαθμολογία CVSS 10.0, υποδεικνύοντας την κρισιμότητά της.

Η τεχνική φύση της ευπάθειας

Η ευπάθεια προκύπτει από τη χρήση μιας ευάλωτης έκδοσης της βιβλιοθήκης Fastjson από την πλατφόρμα, εκθέτοντας εκατομμύρια συσκευές παρακολούθησης παγκοσμίως σε πιθανή παραβίαση. Η εκμετάλλευση της ευπάθειας γίνεται μέσω του endpoint /bic/ssoService/v1/applyCT με κακόβουλα JSON payloads που επεξεργάζεται η Fastjson.

Μηχανισμός επίθεσης

Οι επιτιθέμενοι μπορούν να δημιουργήσουν συγκεκριμένα JSON αιτήματα που ενεργοποιούν τη λειτουργία auto-type της Fastjson, επιτρέποντας τη φόρτωση αυθαίρετων Java κλάσεων. Η επίθεση περιλαμβάνει τη χειραγώγηση της κλάσης JdbcRowSetImpl για την καθιέρωση συνδέσεων με μη αξιόπιστους LDAP servers, παρακάμπτοντας έτσι τους ελέγχους ασφαλείας.

Συνέπειες και επιπτώσεις

Η ευπάθεια επηρεάζει την πλατφόρμα HikCentral, η οποία είναι γνωστή και ως “Integrated Security Management Platform”. Αυτή η πλατφόρμα χρησιμοποιείται ευρέως σε κυβερνητικούς, εμπορικούς και βιομηχανικούς τομείς, παρέχοντας κεντρικό έλεγχο πολλαπλών συσκευών ασφαλείας και συστημάτων παρακολούθησης. Οι πιθανές συνέπειες περιλαμβάνουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα παρακολούθησης, χειραγώγηση συστημάτων ασφαλείας και πιθανότητα πλευρικής κίνησης εντός της υποδομής δικτύου.

Κίνδυνοι και εκμετάλλευση

Οι οργανισμοί που χρησιμοποιούν τις επηρεαζόμενες συσκευές HIKVISION applyCT αντιμετωπίζουν κινδύνους παραβίασης δεδομένων, διακοπής υπηρεσιών και πιθανή παραβίαση ολόκληρης της υποδομής ασφαλείας τους. Η μη αυθεντικοποιημένη φύση της ευπάθειας σημαίνει ότι οι επιτιθέμενοι μπορούν να την εκμεταλλευτούν χωρίς να απαιτούνται έγκυρα διαπιστευτήρια, μειώνοντας σημαντικά το εμπόδιο εισόδου για κακόβουλους δράστες.

Μέτρα μετριασμού

Οι οργανισμοί θα πρέπει άμεσα να αξιολογήσουν τις εγκαταστάσεις τους με HIKVISION applyCT και να εφαρμόσουν δικτυακή τμηματοποίηση για να περιορίσουν την έκθεση. Η παρακολούθηση για ασυνήθιστη κυκλοφορία δικτύου προς το endpoint /bic/ssoService/v1/applyCT μπορεί να βοηθήσει στην ανίχνευση προσπαθειών εκμετάλλευσης. Παρά το γεγονός ότι δεν έχουν ανακοινωθεί συγκεκριμένα patches, οι χρήστες πρέπει να επικοινωνήσουν με την υποστήριξη της HIKVISION για άμεση καθοδήγηση αποκατάστασης και να εξετάσουν το ενδεχόμενο προσωρινής περιορισμού της πρόσβασης στο ευάλωτο endpoint μέχρι να διατεθούν διορθώσεις.

Οι ομάδες ασφαλείας θα πρέπει επίσης να εφαρμόσουν επιπλέον παρακολούθηση για προσπάθειες σύνδεσης LDAP από τα συστήματα HIKVISION τους και να εξετάσουν την ανάπτυξη συστημάτων ανίχνευσης εισβολών βασισμένων στο δίκτυο για να εντοπίσουν πιθανές προσπάθειες εκμετάλλευσης που στοχεύουν αυτή την κρίσιμη ευπάθεια.