IDIS Cloud Manager(ICM)Viewerの重大な脆弱性により、IDISのIPカメラを使用する組織はワンクリックでのリモートコード実行(RCE)にさらされ、監視映像のモニタリングに使用されるWindowsシステムが攻撃者に完全に侵害される可能性があります。
韓国に拠点を置くグローバルな映像監視ベンダーであるIDISは、IPカメラ、NVR、映像管理ソフトウェア、そしてIDIS Cloud Managerと呼ばれるクラウドプラットフォームからなるエンドツーエンドのエコシステムを提供しています。
WindowsにインストールされるICM Viewerは、オペレーターがクラウドからライブ映像、録画の閲覧、映像検索を行えるようにします。欠陥は、このビューアがWebポータルから起動・制御される方法にあります。
通常、たとえ被害者が悪意のあるWebサイトを訪れても、攻撃者はブラウザのサンドボックス内でJavaScriptを実行することに制限されます。
しかし今回のケースでは、ICM Viewerの設計がその境界を破っています。CWGService.exeというWindowsサービスがws://localhost:16140で待ち受けており、ユーザーがWebダッシュボードで「Run Viewer」をクリックすると、URL、JWTトークン、モード、言語などのパラメータを付けてWCMViewer.exe(ICM Viewer)を起動します。
WebクライアントはまずRSA/AESベースのフローでクラウドに認証し、その後localhost:16140へのWebSocket接続を開き、ハードコードされたキーで暗号化されたメッセージを送信してバージョン交渉を行い、続いてCWGService.exeに対して特定の引数でビューアを起動するよう指示します。
重大なのは、これらの引数(URLを含む)が十分な検証やサニタイズなしにそのまま渡されている点です。
WCMViewer.exeはChromium Embedded Framework(CEF)で構築されているため、Chromiumのコマンドラインフラグを受け付けます。
IDIS IPカメラの脆弱性
研究者らは、–utility-cmd-prefixのような追加フラグをコマンドラインに注入できることを発見しました。これは、ブラウザのユーティリティプロセスを任意の実行ファイルでラップする形で悪用できます。
この問題はCVE-2025-12556として追跡されており、CVSS v4スコアは8.7です。IDISとCISAは、ICM Viewerを継続利用している顧客に対し、直ちにバージョン1.7.1へアップグレードするよう促しています。そうでない場合は、ソフトウェアをアンインストールすべきです。
悪意のあるWebSocketメッセージを作成することで、CWGService.exeが注入されたフラグを付加し、WCMViewer.exeがそれをCEFに渡す結果、任意コードが実行されること(概念実証としてnotepad.exeを起動するなど)を示しました。
CWGServiceはlocalhostでのみ待ち受けますが、攻撃者は被害者のブラウザ経由で到達できます。悪意のあるWebページは、ws://127.0.0.1:16140へのWebSocket接続を開き、初期の「hello」ハンドシェイクを実行し、その後、引数注入を含む細工された暗号化コマンドメッセージを送信するJavaScript fileをホストできます。
緩和策
ICM Viewerがインストールされたユーザーが攻撃者の管理するリンクをクリックするだけで、ブラウザがこのJavaScriptを実行し、ローカルサービスをトリガーしてホスト上でコード実行に至ります。これにより、この問題は真のワンクリックRCEとなります。
侵害されると、攻撃者はIDISクラウドに接続されたWindowsホストを制御し、ネットワーク内で横展開(ラテラルムーブメント)を行い、他のエンドポイントや監視資産を標的にする可能性があります。
根本原因には、オリジン検証の欠如(ローカルWebSocketにCORSチェックがない)、固定の暗号化キーの使用、CWGServiceにおける引数の未サニタイズ、そしてWCMViewerがCEFにパラメータを渡す前の検証不足が含まれます。
組織はまた、露出している監視管理ホストを見直し、ローカルサービスを強化し、クラウド接続されたセキュリティツールを迅速にパッチ適用して、同様のアーキテクチャ上の欠陥が重要ネットワークへの侵入口となることを防ぐべきです。
翻訳元: https://gbhackers.com/idis-ip-camera-vulnerability/
