В конце ноября 2025 года была подтверждена и внесена в базу данных уязвимостей (BDU) под номером 2025-14767 критическая уязвимость в микропрограммном обеспечении IP-видеодомофонов Zenitel TCIV-3+. Проблема, получившая идентификатор CVE-2025-64130, связана с недостаточной защитой веб-интерфейса устройств и может позволить злоумышленнику выполнить произвольный код удаленно, без какой-либо аутентификации. Таким образом, уязвимость представляет значительную угрозу для систем физической безопасности объектов, где развернуто это оборудование.
Детали уязвимости
Уязвимость затрагивает устройства TCIV-3+ с версией микропрограммного обеспечения ниже 9.3.3.0. Согласно классификации CWE (Common Weakness Enumeration), ошибка относится к категории CWE-79 - «Непринятие мер по защите структуры веб-страницы», более известной как уязвимость к межсайтовым сценарным атакам (Cross-site Scripting, XSS). Однако в данном случае последствия выходят за рамки типичного XSS, поскольку позволяют не просто похитить данные сессии, а добиться полного выполнения кода на устройстве. Это существенно повышает уровень риска.
Все три основные версии системы оценки CVSS (Common Vulnerability Scoring System) присваивают уязвимости критический уровень опасности. В частности, базовая оценка по CVSS 3.1 достигает 9.8 баллов из 10. Вектор атаки (AV:N) указывает на то, что эксплуатация возможна через сеть, сложность атаки низкая (AC:L), а для ее проведения не требуются ни привилегии (PR:N), ни взаимодействие с пользователем (UI:N). Как следствие, потенциальный злоумышленник может получить полный контроль (C:H/I:H/A:H) над домофонной станцией, что является серьезным инцидентом для системы безопасности.
Эксплуатация уязвимости классифицируется как инъекция. Теоретически, злоумышленник может внедрить и выполнить вредоносный код (malicious payload), отправляя специально сформированные запросы к веб-интерфейсу устройства. Получив контроль, атакующий потенциально способен перехватывать аудио- и видеопотоки, отключать устройство, использовать его для проникновения во внутреннюю сеть объекта или обеспечить себе постоянное присутствие в системе. Хотя на момент публикации новости наличие работающего эксплойта в открытом доступе не подтверждено, критический рейтинг и простота вектора атаки делают эту угрозу высокой.
Производитель Zenitel уже подтвердил наличие проблемы и выпустил обновление, устраняющее уязвимость. Компания рекомендует всем пользователям немедленно обновить микропрограммное обеспечение устройств TCIV-3+ до версии 9.3.3.0 или выше. Соответствующие файлы и инструкции опубликованы на официальном портале производителя в разделе загрузок. Кроме того, информация об уязвимости была распространена
Для организаций, использующих уязвимые устройства, меры по устранению очевидны и сводятся к своевременному применению патча. Однако данный инцидент служит важным напоминанием о необходимости регулярного аудита и обновления не только классических IT-систем, но и всего парка сетевых устройств интернета вещей (IoT), особенно тех, которые задействованы в системах физической безопасности. Центры мониторинга безопасности (SOC) должны включить соответствующие сигнатуры в свои системы обнаружения вторжений (IDS). В целом, быстрое реагирование производителя является положительным фактором, но риски сохраняются до момента применения обновления всеми конечными пользователями.
Ссылки
- https://bdu.fstec.ru/vul/2025-14767
- https://www.cve.org/CVERecord?id=CVE-2025-64130
- https://wiki.zenitel.com/wiki/Downloads#Station_and_Device_Firmware_Package_.28VS-IS.29
- https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-329-03.json
