Otkrivena je kritična sigurnosna ranjivost u komponenti applyCT kompanije HIKVISION, koja je dio HikCentral Integrated Security Management Platform. Ova ranjivost omogućava napadačima daljinsko izvršavanje proizvoljnog koda bez potrebe za autentifikacijom.
Dodijeljena pod oznakom CVE-2025-34067 s maksimalnim CVSS rezultatom od 10.0, ova ranjivost proizlazi iz upotrebe ranjive verzije Fastjson biblioteke u platformi, izlažući time milione nadzornih uređaja širom svijeta potencijalnoj kompromitaciji.
Ključni zaključci uključuju da CVE-2025-34067 (CVSS 10.0) u HIKVISION applyCT omogućava daljinsko izvršavanje koda bez autentifikacije. Napad iskorištava Fastjson biblioteku putem zlonamjernih JSON podataka na endpoint /bic/ssoService/v1/applyCT, koristeći LDAP konekcije. Ovo utječe na HikCentral nadzorne platforme u vladinom, komercijalnom i industrijskom sektoru globalno. Preporučuje se hitna procjena postojećih implementacija, ograničavanje mrežnog pristupa i kontaktiranje HIKVISION-a radi zakrpa, jer se podaci ukazuju na aktivnu eksploataciju.
Ova ranjivost iskorištava endpoint /bic/ssoService/v1/applyCT pomoću zlonamjernih JSON payload-ova koje obrađuje Fastjson biblioteka. Napadači mogu kreirati specifične JSON zahtjeve koji aktiviraju Fastjsonovu funkciju automatskog tipa, omogućavajući učitavanje proizvoljnih Java klasa. Mehanizam napada uključuje manipulaciju JdbcRowSetImpl klasom radi uspostavljanja veza s nepovjerljivim LDAP serverima, čime se efektivno zaobilaze sigurnosne kontrole.
Eksploatacija zahtijeva slanje POST zahtjeva s Content-Type: application/json na ranjivi endpoint. Manipulacijom parametra datasource kako bi ukazivao na zlonamjerni LDAP server, napadači mogu postići daljinsko izvršavanje koda na osnovnom sistemu. Ovo predstavlja klasičan slučaj CWE-502 Deserialization of Untrusted Data u kombinaciji s CWE-917 Expression Language Injection, gdje nedovoljna validacija ulaznih podataka omogućava neautorizovano učitavanje klasa i izvršavanje koda.
Ranjivost pogađa HikCentral platformu, ranije poznatu kao “Integrated Security Management Platform”, koja služi kao sveobuhvatno rješenje za upravljanje sigurnošću široko implementirano u vladinom, komercijalnom i industrijskom sektoru. Zbog opsežne upotrebe platforme, ova ranjivost je posebno zabrinjavajuća, jer pruža centraliziranu kontrolu nad višestrukim sigurnosnim uređajima i nadzornim sistemima. Potencijalne posljedice uključuju neautorizovani pristup osjetljivim nadzornim podacima, manipulaciju sigurnosnim sistemima i mogućnost širenja unutar mrežne infrastrukture. Organizacije koje koriste pogođene HIKVISION applyCT sisteme suočavaju se s rizicima od prodora podataka, prekida usluga i potencijalne kompromitacije cjelokupne sigurnosne infrastrukture. Neautenticirana priroda ranjivosti znači da je napadači mogu iskoristiti bez potrebnih akreditacija, značajno snižavajući prag ulaska za zlonamjerne aktere. Ovo je dovelo do njene klasifikacije kao poznato eksploatisane ranjivosti, što ukazuje na aktivnu eksploataciju u divljini.
Faktori rizika uključuju pogođene proizvode kao što su HIKVISION HikCentral (ranije “Integrated Security Management Platform”) i applyCT komponenta, te verzije koje koriste ranjivu Fastjson biblioteku. Glavni uticaj je daljinsko izvršavanje koda (RCE). Preduslovi za eksploataciju podrazumijevaju mrežni pristup /bic/ssoService/v1/applyCT endpointu, mogućnost slanja HTTP POST zahtjeva, nepostojanje potrebe za autentifikacijom i pristup zlonamjernom LDAP serveru. CVSS rezultat je 10.0 (Kritično).
Organizacije bi trebale odmah procijeniti svoje implementacije HIKVISION applyCT i primijeniti mrežnu segmentaciju kako bi ograničili izloženost. Praćenje neuobičajenog mrežnog saobraćaja prema /bic/ssoService/v1/applyCT endpointu može pomoći u otkrivanju pokušaja eksploatacije. Iako specifične zakrpe još nisu detaljno opisane u trenutnim obavijestima, korisnici bi trebali kontaktirati HIKVISION podršku radi hitnog savjetovanja o otklanjanju problema i razmotriti privremeno ograničavanje pristupa ranjivom endpointu dok zakrpe ne postanu dostupne. Sigurnosni timovi bi također trebali implementirati dodatno praćenje LDAP konekcijskih pokušaja sa svojih HIKVISION sistema i razmotriti implementaciju mrežnih sistema za detekciju upada kako bi identifikovali potencijalne pokušaje eksploatacije usmjerene na ovu kritičnu ranjivost.
