Исследователи кибербезопасности обнаружили критическую уязвимость в компоненте IDIS Cloud Manager (ICM) Viewer, которая подвергает риску организации, использующие IP-камеры южнокорейского производителя IDIS. Уязвимость, получившая идентификатор CVE-2025-12556, позволяет злоумышленникам выполнить удалённый код на компьютерах под управлением Windows, используемых для мониторинга видеонаблюдения. Оценка по шкале CVSS v4 составляет 8.7 баллов, что указывает на высокую степень опасности.
Детали уязвимости
Компания IDIS предоставляет комплексную экосистему для видеонаблюдения, включающую камеры, сетевые видеорегистраторы, программное обеспечение для управления видео и облачную платформу IDIS Cloud Manager. Проблема затрагивает ICM Viewer - приложение для Windows, которое операторы используют для просмотра живого видео, записей и поиска в облаке. Недостаток кроется в механизме запуска и управления этим просмотрщиком из веб-интерфейса.
В стандартном сценарии браузерная песочница ограничивает выполнение вредоносного JavaScript. Однако архитектура ICM Viewer нарушает эту изоляцию. На атакуемом компьютере работает служба CWGService.exe, которая прослушивает WebSocket-соединение по адресу ws://localhost:16140. Когда пользователь нажимает кнопку «Run Viewer» в веб-интерфейсе, эта служба запускает основной процесс просмотрщика WCMViewer.exe с определёнными параметрами.
Ключевая проблема заключается в отсутствии должной проверки этих параметров. Исследователи выяснили, что можно внедрить дополнительные аргументы командной строки. Поскольку WCMViewer.exe построен на базе Chromium Embedded Framework, он принимает флаги Chromium. Злоумышленники могут использовать флаг "-utility-cmd-prefix", чтобы обернуть служебные процессы браузера произвольным исполняемым файлом.
Для эксплуатации уязвимости атакующему необходимо заставить жертву посетить специально созданный вредоносный веб-сайт. Страница содержит JavaScript, который устанавливает WebSocket-соединение с локальной службой CWGService.exe. После выполнения начального «рукопожатия» скрипт отправляет зашифрованное сообщение с внедрёнными аргументами. В результате служба запускает просмотрщик с опасными параметрами, что приводит к выполнению произвольного кода на системе. Таким образом, для успешной атаки достаточно всего одного клика пользователя по ссылке.
После компрометации системы злоумышленники получают контроль над компьютером, подключённым к облаку IDIS. Это открывает возможности для перемещения по корпоративной сети, атаки на другие конечные точки и ресурсы системы видеонаблюдения. Уязвимость создаёт значительные риски для безопасности организаций.
Основными причинами уязвимости стали несколько архитектурных просчётов. Во-первых, локальный WebSocket-сервис не проверяет источник запросов. Во-вторых, для шифрования сообщений используется статический ключ. Кроме того, недостаточная санитизация аргументов в CWGService.exe и слабая валидация параметров в WCMViewer.exe перед их передачей в CEF позволяют провести инъекцию.
Компания IDIS и Агентство кибербезопасности и инфраструктурной безопасности США настоятельно рекомендуют пользователям немедленно обновить ICM Viewer до версии 1.7.1. Если обновление невозможно, программное обеспечение следует удалить с систем. Эксперты также советуют организациям провести аудит хостов, используемых для управления системами наблюдения, усилить защиту локальных служб и обеспечить оперативное обновление всего облачного инструментария безопасности. Своевременная установка исправлений помогает предотвратить превращение подобных архитектурных недостатков в точки входа в критически важные сети.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-12556
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-05
- https://claroty.com/team82/research/new-architecture-new-risks-one-click-to-pwn-idis-ip-cameras
