Lỗ hổng CVE nghiêm trọng: IDIS bị khai thác, chiếm quyền hệ thống.

Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong các camera IP IDIS, cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn máy tính của nạn nhân chỉ với một cú nhấp chuột. Khai thác lỗ hổng này có thể biến các hệ thống giám sát thông thường thành điểm khởi đầu cho các cuộc xâm nhập mạng quy mô lớn.

CVE-2025-12556: Phân Tích Lỗ Hổng Nghiêm Trọng

Lỗ hổng này được định danh là CVE-2025-12556 và nhắm mục tiêu vào IDIS Cloud Manager (ICM) Viewer. Đây là một ứng dụng dựa trên Windows được sử dụng để giám sát các luồng camera an ninh từ camera IP IDIS. Các camera này được triển khai rộng rãi trong các doanh nghiệp, cơ sở sản xuất và cả các tổ chức quan trọng trên toàn thế giới.

Với điểm CVSS là 8.7, lỗ hổng này đại diện cho một mối đe dọa cực kỳ nghiêm trọng. Nó có khả năng biến các hệ thống giám sát thành các điểm thâm nhập tiềm năng, tạo điều kiện cho các vi phạm an ninh mạng trên diện rộng.

IDIS, nhà sản xuất giải pháp giám sát video có trụ sở tại Hàn Quốc, cung cấp một giải pháp quản lý đám mây tích hợp. Nền tảng ICM kết nối các camera IP, đầu ghi video mạng (NVR) và phần mềm quản lý video, tạo ra một hệ sinh thái giám sát toàn diện.

Cơ Chế Khai Thác Lỗ Hổng

Từ Liên Kết Độc Hại Đến Chiếm Quyền Điều Khiển

Lỗ hổng cho phép tác nhân đe dọa thực thi mã độc trên máy chủ. Kẻ tấn công thực hiện điều này bằng cách lừa nạn nhân nhấp vào một liên kết được tạo sẵn đặc biệt.

Thông thường, người dùng được cảnh báo về việc nhấp vào các liên kết không đáng tin cậy. Tuy nhiên, lỗ hổng CVE này gia tăng đáng kể mức độ nguy hiểm. Nó cho phép mã độc thoát khỏi hộp cát bảo vệ của trình duyệt và thực thi trực tiếp trên hệ điều hành Windows.

Các nhà nghiên cứu tại Claroty đã xác định điểm yếu này trong quá trình điều tra các hệ sinh thái giám sát hiện đại, hỗ trợ đám mây. Phân tích của họ đã tiết lộ rằng kiến trúc của ICM Viewer chứa nhiều sai sót về bảo mật. Khi kết hợp lại, những sai sót này tạo ra một lộ trình tấn công nguy hiểm.

CWGService.exe và Lỗi Xác Thực

Điểm yếu chính bắt nguồn từ một dịch vụ Windows có tên là CWGService.exe. Dịch vụ này lắng nghe trên cổng cục bộ 16140 và chấp nhận các lệnh để khởi chạy ICM Viewer với các tham số cụ thể.

Dịch vụ này không xác thực nguồn gốc của các lệnh đến hoặc làm sạch các đối số đầu vào. Do đó, kẻ tấn công có thể chèn các hướng dẫn độc hại thông qua một kết nối WebSocket. Kết nối này được khởi tạo bởi mã JavaScript trên một trang web độc hại.

Một khi bị khai thác, lỗ hổng CVE này cấp cho kẻ tấn công quyền truy cập hoàn toàn vào hệ thống bị xâm nhập. Điều này cho phép chúng đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại bổ sung hoặc di chuyển ngang (lateral movement) qua mạng để nhắm mục tiêu vào các thiết bị khác.

Đây là một kịch bản đáng báo động, đặc biệt đối với các tổ chức dựa vào hệ thống giám sát IDIS. Một máy trạm bị xâm nhập duy nhất có thể trở thành bàn đạp cho các cuộc tấn công chống lại toàn bộ cơ sở hạ tầng. Điều này bao gồm các camera giám sát và các hệ thống kinh doanh quan trọng.

Phân Tích Kỹ Thuật Chi Tiết Khai Thác

Lợi Dụng Tham Số Dòng Lệnh trong ICM Viewer

Quá trình khai thác tận dụng một lỗi thiết kế trong cách ICM Viewer xử lý các đối số dòng lệnh được truyền từ thành phần CWGService. ICM Viewer được xây dựng trên Chromium Embedded Framework (CEF), một khung làm việc chấp nhận nhiều cờ dòng lệnh để sửa đổi hành vi của trình duyệt.

Kẻ tấn công đã phát hiện ra rằng chúng có thể chèn cờ gỡ lỗi --utility-cmd-prefix vào chuỗi thực thi. Điều này cho phép chúng gói các tiến trình tiện ích của trình xem bằng các lệnh tùy ý.

Bằng cách lưu trữ một trang web độc hại chứa JavaScript kết nối với dịch vụ WebSocket cục bộ, kẻ tấn công có thể gửi các tin nhắn được mã hóa với các đối số đã được chèn. Những đối số này sẽ kích hoạt thực thi mã khi người dùng không nghi ngờ truy cập trang.

Cuộc tấn công không yêu cầu xác thực nào ngoài việc thuyết phục nạn nhân nhấp vào một liên kết. Điều này làm cho nó đặc biệt hiệu quả cho các chiến dịch lừa đảo spear-phishing.

Các nhà nghiên cứu của Claroty đã chứng minh thành công việc khai thác lỗ hổng này bằng cách chèn các lệnh khởi chạy Notepad. Điều này chứng minh tính khả thi của khái niệm này cho các tải trọng độc hại phức tạp hơn.

// Đoạn mã JavaScript minh họa (không có trong nội dung gốc, chỉ mang tính tham khảo kỹ thuật) // Để minh họa cách kẻ tấn công có thể khởi tạo kết nối WebSocket và gửi lệnhconst ws = new WebSocket("ws://127.0.0.1:16140/client");ws.onopen = () => { console.log("Connected to CWGService.exe"); // Gửi lệnh độc hại đã mã hóa const maliciousCommand = { "type": "launch", "payload": "--utility-cmd-prefix=cmd.exe /c start notepad.exe" }; ws.send(JSON.stringify(maliciousCommand));};ws.onerror = (error) => { console.error("WebSocket Error: ", error);};ws.onmessage = (event) => { console.log("Message from server: ", event.data);};

Tác Động và Biện Pháp Khắc Phục Khuyến Nghị

Việc chiếm quyền điều khiển hoàn toàn một hệ thống thông qua một cú nhấp chuột đơn giản là một rủi ro đáng kể. Nó mở ra cánh cửa cho việc đánh cắp dữ liệu nhạy cảm, cài đặt ransomware, hoặc thiết lập các cửa hậu để truy cập lâu dài.

CISA đã ban hành một khuyến nghị khẩn cấp, kêu gọi tất cả người dùng IDIS ICM Viewer nâng cấp ngay lập tức lên phiên bản 1.7.1. Nếu không sử dụng phần mềm, khuyến nghị là gỡ cài đặt để loại bỏ hoàn toàn nguy cơ.

Các tổ chức phải hành động nhanh chóng để vá lỗi hệ thống của mình. Sự kết hợp giữa mức độ nghiêm trọng cao và tính dễ khai thác khiến lỗ hổng CVE này trở thành một mục tiêu hấp dẫn đối với các tác nhân đe dọa. Chúng tìm cách truy cập mạng thông qua các thiết bị IoT, gây ra những nguy cơ lớn cho an ninh mạng.

Để biết thêm thông tin chi tiết về nghiên cứu này, bạn có thể tham khảo báo cáo đầy đủ từ Claroty: One-Click to Pwn IDIS IP Cameras.