23 апреля 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало официальное предупреждение о критической уязвимости в IP-камерах XM530 производства китайской компании Hangzhou Xiongmai Technology. Получившая идентификатор CVE-2025-65856 проблема безопасности затрагивает устройства, широко используемые в коммерческом секторе по всему миру, и, по оценке специалистов, представляет собой одну из наиболее серьёзных угроз для систем видеонаблюдения за последнее время.
Уязвимость CVE-2025-65856
Суть уязвимости заключается в отсутствии проверки подлинности при обращении к критической функции в прошивке камеры. Это означает, что удалённый злоумышленник, не имеющий никаких учётных данных, может обойти протоколы аутентификации и получить несанкционированный доступ к конфиденциальной информации устройства. Речь идёт не только о возможности просмотра видеопотока, но и оpotentialном захвате управления самой камерой с последующим использованием её в качестве точки входа в корпоративную сеть. Показатель опасности по шкале CVSS v3 (стандартная система оценки уязвимостей) составил 9,8 балла из 10 возможных, что практически соответствует максимальному уровню критичности.
Особую тревогу вызывает тот факт, что общедоступный эксплойт уже был создан исследователем безопасности Луисом Мирандой Асебедо и передан в базу данных MITRE. Наличие такого инструмента существенно снижает порог входа для потенциальных злоумышленников, позволяя им автоматизировать поиск уязвимых устройств и проведение атак без необходимости глубоких технических знаний. Хотя CISA отмечает, что на момент публикации предупреждения активной эксплуатации уязвимости в реальных условиях не зафиксировано, риск остаётся чрезвычайно высоким. Как показывает практика, после публикации кода эксплойта злоумышленники обычно начинают массовое сканирование сети в течение нескольких дней.
Уязвимость затрагивает конкретную модель оборудования: IP-камеру XM530V200_X6-WEQ_8M с версией прошивки V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06. Однако, учитывая, что компания Hangzhou Xiongmai Technology производит десятки миллионов устройств ежегодно, а многие модели используют схожие компоненты прошивки, нельзя исключать, что аналогичная проблема может присутствовать и в других версиях оборудования. Камеры этого производителя широко применяются в системах безопасности торговых центров, складских помещений, производственных объектов и офисных зданий по всему миру. Именно масштаб распространения делает данную уязвимость столь привлекательной для злоумышленников.
В сложившейся ситуации CISA настоятельно рекомендует организациям не дожидаться официального обновления прошивки от производителя, а принять упреждающие меры защиты. Специалисты агентства подчёркивают, что основная стратегия должна заключаться в максимальном ограничении сетевого доступа к уязвимым устройствам. В первую очередь необходимо убедиться, что IP-камеры не имеют прямого доступа из открытого интернета. Многие организации допускают эту ошибку, настраивая удалённый просмотр видео без использования защищённых каналов связи. Такие камеры должны быть размещены в изолированных сегментах сети, отделённых от корпоративной инфраструктуры строгими межсетевыми экранами (файрволами). Для любого удалённого административного доступа необходимо использовать обновлённые решения класса VPN (технология защищённого виртуального частного канала).
Кроме того, CISA напоминает о необходимости проведения тщательного анализа рисков и оценки воздействия перед внедрением новых защитных мер. Любые изменения конфигурации сети должны быть согласованы с внутренними службами безопасности, чтобы не нарушить работу других систем. Также следует усилить бдительность персонала в отношении методов социальной инженерии и фишинговых атак, поскольку злоумышленники нередко комбинируют технические уязвимости с человеческим фактором для получения первоначального доступа к сети.
Для администраторов безопасности и специалистов по управлению уязвимостями текущая ситуация служит очередным напоминанием о необходимости регулярного аудита сетевого периметра. Устройства интернета вещей, к которым относятся IP-камеры, часто остаются за пределами стандартных процессов управления обновлениями и мониторинга. Между тем именно они становятся всё более популярной целью для атак: по данным аналитиков, количество инцидентов, связанных с компрометацией таких устройств, выросло более чем на 300% за последние два года.
Организациям, обнаружившим подозрительную активность в отношении своих камер Xiongmai, предписывается немедленно сообщать об этом в CISA для отслеживания и корреляции инцидентов. Своевременный обмен информацией между частным сектором и государственными агентствами позволяет быстрее выявлять новые векторы атак и разрабатывать эффективные контрмеры. Пока же главная рекомендация остаётся неизменной: не оставлять уязвимые устройства без присмотра и принять все возможные меры для их изоляции от внешних угроз.
Ссылки
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-05
- https://www.cve.org/CVERecord?id=CVE-2025-65856
- https://luismirandaacebedo.github.io/CVE-2025-65856/
