Критическая уязвимость в IP-видеодомофонах Zenitel TCIV-3+: удаленное выполнение команд угрожает системам безопасности

В ноябре 2025 года обнаружена серия критических уязвимостей в IP-видеодомофонах Zenitel TCIV-3+, позволяющих злоумышленникам удаленно выполнять произвольные команды. Три идентифицированные уязвимости получили идентификаторы BDU:2025-14763, BDU:2025-14764 и BDU:2025-14765 с соответствующими CVE: CVE-2025-64126, CVE-2025-64127 и CVE-2025-64128.

Детали уязвимостей

Данные уязвимости затрагивают микропрограммное обеспечение видеодомофонов версий до 9.3.3.0. Они классифицируются как CWE-78 - непринятие мер по нейтрализации специальных элементов в командах операционной системы. Проще говоря, это инъекция команд ОС, когда система неправильно обрабатывает специальные символы в пользовательском вводе.

По всем трем версиям системы оценки CVSS присвоен максимальный балл 10. В частности, CVSS 3.1 оценивает их как AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Это означает, что атака возможна через сеть, не требует специальных условий или привилегий, а также влияет на смежные компоненты. Следовательно, уязвимости позволяют достичь полного компромета конфиденциальности, целостности и доступности.

Эксперты подчеркивают, что успешная эксплуатация этих уязвимостей дает злоумышленнику полный контроль над устройством. Например, атакующий может перехватывать видеопоток, отключать систему безопасности или использовать устройство как точку входа в корпоративную сеть. Более того, учитывая физическую природу устройств, возможны сценарии социальной инженерии.

Производитель Zenitel уже подтвердил наличие уязвимостей и выпустил обновления. На официальном wiki-портале компании опубликованы рекомендации по обновлению прошивки до версии 9.3.3.0 или выше. При этом важно отметить, что уязвимости полностью устранены в последних версиях микропрограммного обеспечения.

Агентство кибербезопасности и инфраструктурной безопасности США CISA включило данные уязвимости в свой бюллетень ICSA-25-329-03. Это указывает на серьезность проблемы, поскольку устройства физической безопасности часто интегрируются с промышленными системами контроля.

Специалисты рекомендуют немедленно проверить версии микропрограммного обеспечения всех устройств TCIV-3+ в эксплуатации. При обнаружении устаревших версий необходимо незамедлительно установить обновления. Кроме того, стоит рассмотреть сегментацию сети для изоляции устройств физической безопасности от критически важных систем.

Отсутствие известных эксплойтов на момент публикации не должно расслаблять администраторов. Обычно для уязвимостей такого уровня опасности инструменты эксплуатации появляются достаточно быстро. Следовательно, окно для безопасного обновления может быть ограниченным.

Данный инцидент демонстрирует важность регулярного обновления не только традиционных IT-систем, но и устройств интернета вещей. Особенно это касается систем физической безопасности, которые часто воспринимаются как изолированные. Между тем, современные IP-видеодомофоны являются полноценными сетевыми устройствами со всеми вытекающими рисками.

Владельцам уязвимых устройств следует посетить страницу загрузок Zenitel для получения последней версии микропрограммного обеспечения. Дополнительную информацию можно найти в консультационном бюллетене CISA, который детально описывает все три уязвимости и методы защиты.

Подобные случаи напоминают о необходимости комплексного подхода к кибербезопасности. Физические и информационные системы безопасности сегодня неразрывно связаны. Поэтому уязвимости в таких устройствах, как видеодомофоны, требуют такого же внимания, как и уязвимости в серверах или рабочих станциях. Своевременное обновление остается наиболее эффективным способом защиты от подобных угроз.

Детали уязвимостей

Ссылки