W platformie Hikvision Integrated Security Management Platform (ISMP) istnieje krytyczna podatność umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Przyczyną jest użycie podatnej wersji biblioteki Fastjson do deserializacji niezaufanych danych wejściowych w komponencie applyCT.
▸ Pokaż oryginał (EN)
An unauthenticated remote command execution vulnerability exists in the applyCT component of the Hikvision Integrated Security Management Platform due to the use of a vulnerable version of the Fastjson library. The endpoint /bic/ssoService/v1/applyCT deserializes untrusted user input, allowing an attacker to trigger Fastjson's auto-type feature to load arbitrary Java classes. By referencing a malicious class via an LDAP URL, an attacker can achieve remote code execution on the underlying system. Exploitation evidence was observed by the Shadowserver Foundation on 2025-02-05 UTC.
Endpoint /bic/ssoService/v1/applyCT przyjmuje dane od użytkownika i deserializuje je bez weryfikacji tożsamości (brak uwierzytelnienia). Atakujący może wykorzystać mechanizm auto-type biblioteki Fastjson (CWE-502: deserializacja niezaufanych danych) do załadowania dowolnej klasy Java. Poprzez wskazanie złośliwej klasy za pomocą adresu URL protokołu LDAP, atakujący doprowadza do załadowania i wykonania własnego kodu na serwerze. Cały atak możliwy jest zdalnie, bez żadnych uprawnień ani interakcji użytkownika.
Atakujący uzyskuje możliwość pełnego zdalnego wykonania kodu na systemie operacyjnym hosta, co w praktyce oznacza przejęcie pełnej kontroli nad urządzeniem i potencjalnie nad całą zarządzaną infrastrukturą fizycznego bezpieczeństwa.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu instalacji aktualizacji, zaleca się zablokowanie dostępu do endpointu /bic/ssoService/v1/applyCT na poziomie firewall lub WAF oraz odizolowanie platformy ISMP od sieci publicznych.
Hikvision Integrated Security Management Platform (ISMP) — komponent applyCT (endpoint /bic/ssoService/v1/applyCT); konkretne wersje wskazane w referencjach producenta
Mimo że CISA KEV wskazuje brak oficjalnego wpisu, Shadowserver Foundation odnotowała dowody aktywnej eksploatacji podatności w środowisku produkcyjnym w dniu 2025-02-05 UTC, co zostało wprost wskazane w opisie CVE. Podatność otrzymała maksymalną ocenę CVSS 10.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X