关键漏洞信息 漏洞概要 CVE ID: CVE-2025-65856 严重性: CRITICAL CVSS v3.1 评分: 9.8 CVSS 向量: 影响的产品 厂商: Hangzhou Xiongmai Technology Co., Ltd. 产品: Xiongmai XM530 系列 IP 摄像机 商用品牌: ANBIUX (以及数百个 OEM 重新品牌) 固件版本: V5.00.R02.000807D8.10010.346624.S. ONVIF 21.06 以及可能的所有 V5.00.R02. 版本 漏洞详情 ONVIF Web 服务实现未能对 31 个关键终端点实施身份验证,这些终端点应根据 ONVIF 规范需要凭据。 技术细节: 1. 缺少 WS-Security 身份验证 (CWE-306) 2. 受影响的终端点(部分列表): - GetDeviceInformation - 硬件/固件详细信息 - GetUsers - 用户帐户信息 - GetStreamUri - 带凭据的 RTSP 流 URI - GetSnapshotUri - 静态图像 URI - GetNetworkInterfaces - 网络配置 - GetNetworkProtocols - 已启用的服务/端口 - GetDNS / GetNTP - DNS 和 NTP 配置 - GetPresets / GetNodes - PTZ 配置 - SetRelayOutputState - 控制继电输出(警报) - 以及其他 22 个关键终端点 3. 攻击界面: 常用端口 80、8000、8080、8899 影响 未经授权的远程攻击者可以: - 访问实时视频和音频流 - 获取完整的设备配置 - 枚举用户帐户和凭据 - 控制 PTZ(平移/倾斜/变焦)功能 - 操纵继电输出(报警系统) - 进行网络侦察 - 提取 RTSP 凭据 隐私影响: 直接违反 GDPR 和隐私法规。启用大规模监控操作。 缓解措施 对用户(立即): - 网络隔离: 将摄像机放置在没有互联网访问的隔离 VLAN 中 - 防火墙规则: 阻止对端口 80、8000、8080、8899 的入站连接 - 禁用 ONVIF: 检查摄像机设置以禁用 ONVIF 协议 - 只允许 VPN 访问: 永不直接将摄像机暴露在互联网上 - 考虑更换: 鉴于厂商的安全历史,推荐更换 对厂商**: - 在所有 ONVIF 端点上实现适当的 WS-Security 身份验证 - 遵循 ONVIF 核心规范安全要求 - 添加速率限制和暴力破解保护 - 启用安全日志记录和警报 目前暂无补丁可用。 时间线 2025 年 11 月: 漏洞在安全评估期间被发现 2025 年 12 月 16 日: CVE-2025-65856 由 MITRE 分配 2025 年 12 月 17 日: 尝试通过 XMSRC@xiongmaitech.com 联系厂商(邮件发送失败 - 服务器配置错误) 2025 年 12 月 17 日: 尝试通过 oversea_sales@xiongmaitech.com 建立替代联系(邮件发送失败) 2025 年 12 月 17 日: 公开披露 厂商回应: 未收到响应。官方安全联系基础设施无功能。