CVE-2025-63667 PoC — Vatilon IP camera 安全漏洞

来源

关联漏洞

Description

Vatilon-based IP camera firmwares issue Session-Id tokens without verifying credentials, allowing attackers to obtain sessions and retrieve plaintext account credentials via API endpoints.

介绍

# CVE-2025-63667 — Vatilon-based IP Cameras Vulnerability Evidence (Sanitized)

## Summary
Several Vatilon-based IP cameras (observed brands: SIMICAM, KEVIEW, ASECAM) issue **Session-Id** tokens without verifying credential correctness. This flaw allows unauthenticated attackers to obtain valid sessions and access administrative data such as plaintext account credentials through exposed API endpoints.

**Vulnerability type:** Incorrect Access Control / Improper Authentication  
**Impact:** Remote Information Disclosure, Privilege Escalation  
**CVSS v3.1:** 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

---

## Affected Devices (Observed)
| Brand  | devtype | CPU Type     | Firmware Version      | Kernel | U-Boot Version |
|--------|---------|--------------|-----------------------|--------|----------------|
| SIMICAM | H44    | hi3516cv608  | V1.16.41-20250725     | 5.10-6 | 2022.07-7      |
| KEVIEW  | H43    | fh8852v201   | V1.14.92-20241120     | 4.9-15 | 2016-14        |
| ASECAM  | H43    | fh8852v201   | V1.14.10-20240725     | 4.9-15 | 2016-14        |

---

## Proof-of-Concept Disclosure Notice
Reproduction details and raw evidence (PoC scripts, PCAPs, and device outputs) are withheld from public disclosure due to high abuse risk. Authorized parties (vendors, CERTs, CNAs) may request access to the full evidence archive after verification.  
**Evidence archive:** `Vatilon_vulnerability_evidence_2025.zip`  
**SHA256:** `235ad5c37c700b9a19851f9a3f5fb7c8afb6c92a501cd8d99d94d6d1859fbd04`

---

## Additional Observations
- Firmware exposes Telnet service on TCP port 2360, likely for maintenance/debugging.  
- Web UI advertises Digest authentication, but `/cgi-bin/web.cgi?mod=session&cmd=login1` accepts Basic-style credentials and issues Session-Id tokens regardless of credential validity.  
- Account-listing endpoints may return plaintext `pwd` fields.

---

## Impact
- Session tokens issued without proper authentication allow unauthorized access to device APIs.  
- Account list endpoints returning plaintext passwords enable takeover and configuration changes.  
- Exposed maintenance services increase attack surface for remote compromise.

---

## Mitigation / Recommendations
1. Validate credentials before issuing session tokens; ensure Session-Id issuance only occurs after successful authentication.  
2. Remove plaintext password exposure from API responses; store and verify only secure hashes server-side.  
3. Enforce proper authentication on all API endpoints and stop accepting Basic-style credentials as a fallback.  
4. Disable or restrict telnet and other maintenance services.  
5. Apply rate limiting, account lockout, and monitoring for anomalous API access.  
6. Harden thttpd/web server configuration to avoid exposing sensitive endpoints publicly.

---

## Evidence Archive
- File: `Vatilon_vulnerability_evidence_2025.zip`  
- SHA256: `235ad5c37c700b9a19851f9a3f5fb7c8afb6c92a501cd8d99d94d6d1859fbd04`  
*(Full archive is not published here. Requests for access must be authorized.)*

---

## References
- [NVD Entry](https://nvd.nist.gov/vuln/detail/CVE-2025-63667)
- [CVE.org Entry](https://www.cve.org/CVERecord?id=CVE-2025-63667)

---

## 요약
여러 Vatilon 기반 IP 카메라(확인된 브랜드: SIMICAM, KEVIEW, ASECAM)에서 **Session-Id** 토큰을 자격 증명 검증 없이 발급하는 취약점이 있습니다. 이 결함으로 인해 인증되지 않은 공격자가 유효한 세션을 획득하고 노출된 API 엔드포인트를 통해 관리자 계정 정보(평문 비밀번호 등)에 접근할 수 있습니다.

**취약점 유형:** 접근 제어 불충분 / 인증 부적절  
**영향:** 원격 정보 노출, 권한 상승  
**CVSS v3.1:** 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

---

## 영향 대상 장비 (확인된 사례)
| 제조사  | devtype | CPU 타입     | 펌웨어 버전           | 커널   | U-Boot 버전 |
|--------|---------|--------------|-----------------------|--------|-------------|
| SIMICAM | H44    | hi3516cv608  | V1.16.41-20250725     | 5.10-6 | 2022.07-7   |
| KEVIEW  | H43    | fh8852v201   | V1.14.92-20241120     | 4.9-15 | 2016-14     |
| ASECAM  | H43    | fh8852v201   | V1.14.10-20240725     | 4.9-15 | 2016-14     |

---

## 개념 증명(재현 자료) 비공개 안내
재현 절차 및 원본 증거(PoC 스크립트, PCAP, 장치 출력 등)는 악용 위험으로 인해 공개하지 않습니다. 벤더, CERT, CNA 등 공인 기관은 검증 후 전체 증거 아카이브에 접근을 요청할 수 있습니다.  
**증거 아카이브:** `Vatilon_vulnerability_evidence_2025.zip`  
**SHA256:** `235ad5c37c700b9a19851f9a3f5fb7c8afb6c92a501cd8d99d94d6d1859fbd04`

---

## 추가 관찰사항
- 펌웨어는 TCP 포트 2360에서 Telnet 서비스를 노출(유지보수/디버깅 용도로 추정).  
- 웹 UI는 Digest 인증을 표기하지만 `/cgi-bin/web.cgi?mod=session&cmd=login1` 엔드포인트는 Basic 형태 자격 증명을 허용하고 자격 증명 유효성에 관계없이 Session-Id 토큰을 발급합니다.  
- 계정 목록 반환 엔드포인트가 평문 `pwd` 필드를 포함할 수 있습니다.

---

## 영향
- 적절한 인증 없이 발급되는 세션 토큰으로 인해 장치 API에 무단 접근이 가능합니다.  
- 계정 목록에서 평문 비밀번호가 반환되면 계정 탈취 및 설정 변경이 가능합니다.  
- 유지보수용 서비스 노출은 원격 침해 가능성을 증가시킵니다.

---

## 완화 권고
1. 세션 토큰 발급 전에 자격 증명 검증을 필수화하십시오.  
2. API 응답에서 평문 비밀번호를 제거하고 안전한 해시 방식으로 저장 및 검증하십시오.  
3. 모든 API 엔드포인트에서 적절한 인증을 강제하고 Basic 형태 자격 증명 허용을 중단하십시오.  
4. Telnet 등 유지보수 포트를 비활성화하거나 접근을 제한하십시오.  
5. 속도 제한, 계정 잠금, 접근 모니터링을 적용하십시오.  
6. thttpd/웹 서버 설정을 강화하여 민감한 엔드포인트의 공개를 차단하십시오.

---

## 증거 아카이브
- 파일: `Vatilon_vulnerability_evidence_2025.zip`  
- SHA256: `235ad5c37c700b9a19851f9a3f5fb7c8afb6c92a501cd8d99d94d6d1859fbd04`  
*(원본 아카이브는 여기에 공개하지 않음. 접근 요청은 인증된 기관에 한함.)*

---

## 참고
- [NVD 등록정보](https://nvd.nist.gov/vuln/detail/CVE-2025-63667)
- [CVE.org 등록정보](https://www.cve.org/CVERecord?id=CVE-2025-63667)

文件快照

 [4.0K]  /data/pocs/3fc6745abf018a43345972e5741739d389d79da0
└── [6.4K]  README.md

1 directory, 1 file

备注