كشف تحليل أمني حديث عن ثغرة أمنية خطيرة في كاميرات المراقبة من نوع IDIS IP، تتيح للمهاجمين السيطرة الكاملة على أجهزة الكمبيوتر الخاصة بالضحايا بنقرة واحدة.
تستهدف هذه الثغرة، التي تم تعيينها بالرمز CVE-2025-12556، تطبيق IDIS Cloud Manager (ICM) Viewer، وهو برنامج يعتمد على نظام ويندوز ويستخدم لمراقبة بث المراقبة من كاميرات IDIS IP المنتشرة في الشركات والمصانع والمنشآت العسكرية حول العالم.
بدرجة خطورة بلغت 8.7 على مقياس CVSS، تمثل هذه الثغرة تهديداً حرجاً يمكن أن يحول أنظمة المراقبة الروتينية إلى نقاط دخول لخرق الشبكة بالكامل.
تُعد IDIS، وهي شركة كورية جنوبية مصنعة لأنظمة المراقبة بالفيديو، حلاً متكاملاً للإدارة السحابية يربط كاميرات IP ومسجلات الفيديو الشبكية وبرامج إدارة الفيديو عبر منصة ICM.
تسمح الثغرة لمجرمي الإنترنت بتنفيذ تعليمات برمجية خبيثة على الجهاز المضيف من خلال خداع الضحايا للنقر على رابط مصمم خصيصاً.
في حين أن المستخدمين عادة ما يتم تحذيرهم من النقر على الروابط غير الموثوق بها، إلا أن هذه الثغرة الأمنية تزيد الخطر بشكل كبير عن طريق كسر حاجز الحماية الخاص بالمتصفح وتنفيذ التعليمات البرمجية مباشرة على نظام تشغيل ويندوز.
اكتشف باحثو Claroty هذه الثغرة الأمنية أثناء تحقيقهم في أنظمة المراقبة الحديثة المعتمدة على السحابة.
كشفت تحليلاتهم أن بنية ICM Viewer تحتوي على العديد من الثغرات الأمنية التي، عند دمجها، تخلق مسار هجوم خطير.
تنبع المشكلة من خدمة ويندوز تسمى CWGService.exe، والتي تستمع على المنفذ المحلي 16140 وتقبل الأوامر لتشغيل ICM Viewer بمعلمات محددة.
نظراً لأن هذه الخدمة تفشل في التحقق من مصدر الأوامر الواردة أو تنقية معاملات الإدخال، يمكن للمهاجمين حقن تعليمات خبيثة عبر اتصال WebSocket يتم إنشاؤه بواسطة كود JavaScript على موقع ويب ضار.
بمجرد استغلالها، تمنح الثغرة المهاجمين وصولاً كاملاً إلى النظام المخترق، مما يمكنهم من سرقة البيانات الحساسة، أو تثبيت برمجيات خبيثة إضافية، أو الانتشار أفقياً عبر الشبكة لاستهداف أجهزة أخرى.
يمثل هذا سيناريو مقلقاً بشكل خاص للمؤسسات التي تعتمد على أنظمة المراقبة من IDIS، حيث يمكن لمحطة عمل واحدة مخترقة أن تكون نقطة انطلاق لهجمات ضد البنية التحتية الأوسع، بما في ذلك كاميرات المراقبة وأنظمة الأعمال الحيوية.
آلية الهجوم والاستغلال التقني لثغرة IDIS IP
تستغل عملية الاستغلال خلل تصميم في كيفية معالجة ICM Viewer لمعاملات سطر الأوامر التي تمررها مكون CWGService.
تم بناء ICM Viewer على Chromium Embedded Framework (CEF)، الذي يقبل علامات سطر أوامر مختلفة لتعديل سلوك المتصفح.
اكتشف المهاجمون أنه يمكنهم حقن علامة التصحيح –utility-cmd-prefix في سلسلة التنفيذ، مما يسمح لهم بتضمين العمليات المساعدة للمشاهد مع أوامر اعتباطية.
من خلال استضافة صفحة ويب ضارة تحتوي على JavaScript يتصل بخدمة WebSocket المحلية، يمكن للمهاجمين إرسال رسائل مشفرة بمعاملات محقونة تؤدي إلى تنفيذ التعليمات البرمجية عند زيارة المستخدم غير المتوقع للصفحة.
يتطلب الهجوم أي مصادقة بخلاف إقناع الضحية بالنقر على رابط، مما يجعله فعالاً بشكل خاص لحملات التصيد الاحتيالي الموجهة.
نجح باحثو Claroty في إثبات قابلية الاستغلال عن طريق حقن أوامر أدت إلى تشغيل المفكرة (Notepad)، مما يثبت جدوى المفهوم لحمولات أكثر ضرراً.
أصدرت CISA تحذيراً يحث جميع مستخدمي IDIS ICM Viewer على الترقية فوراً إلى الإصدار 1.7.1 أو إلغاء تثبيت البرنامج إذا لم يكن قيد الاستخدام.
يجب على المؤسسات التحرك بسرعة لتصحيح أنظمتها، حيث أن الجمع بين الخطورة العالية وسهولة الاستغلال يجعل هذه الثغرة الأمنية هدفاً جذاباً لمجرمي الإنترنت الذين يسعون للوصول إلى الشبكة عبر أجهزة إنترنت الأشياء (IoT).