Se ha descubierto una vulnerabilidad de seguridad crítica en el componente AplicatCT de HikVision, parte de la plataforma Hikcentral Integrated Security Management, que permite a los atacantes ejecutar el código arbitrario de forma remota sin autenticación.
Asignado CVE-2025-34067 Con un puntaje CVSS máximo de 10.0, esta vulnerabilidad se deriva del uso de la plataforma de una versión vulnerable de la Biblioteca Fastjson, exponiendo millones de dispositivos de vigilancia en todo el mundo al compromiso potencial.
Control de llave
1. CVE-2025-34067 (CVSS 10.0) en HikVision AplicatCT permite la ejecución de código remoto no autorenticada.
2. Explotación de la biblioteca Fastjson a través de JSON malicioso a/bic/ssoservice/v1/applyct en el punto final utilizando conexiones LDAP.
3. Afecta las plataformas de vigilancia Hikcentral en sectores gubernamental, comercial e industrial a nivel mundial.
4. Evaluar las implementaciones de inmediato, restringir el acceso a la red y contactar a HikVision para parches, explotados activamente.
Falla crítica de deserialización de Fastjson
La vulnerabilidad explota el punto final/bic/ssoservice/v1/applyct a través de cargas útiles de JSON maliciosas procesadas por la biblioteca Fastjson.
Los atacantes pueden crear solicitudes de JSON específicas que activen la función de tipo automática de Fastjson, lo que permite la carga de clases de Java arbitrarias.
El mecanismo de ataque implica manipular la clase JDBCrowsetImpl para establecer conexiones con servidores LDAP no confiables, sin pasar por alto los controles de seguridad.
El exploit requiere enviar una solicitud de publicación con el tipo de contenido: Aplicación/JSON al punto final vulnerable. Al manipular el parámetro de fuente de datos para señalar un servidor LDAP malicioso, los atacantes pueden lograr la ejecución de código remoto en el sistema subyacente.
Esto representa un caso clásico de deserialización de CWE-502 de datos no confiables combinados con la inyección de lenguaje de expresión CWE-917, donde la validación de entrada insuficiente permite la carga de clase no autorizada y la ejecución del código.
La vulnerabilidad afecta la plataforma Hikcentral, anteriormente conocida como la “plataforma de gestión de seguridad integrada”, que sirve como una solución integral de gestión de seguridad ampliamente desplegada en los sectores gubernamental, comercial e industrial.
La extensa adopción de la plataforma hace que esta vulnerabilidad sea particularmente preocupante, ya que proporciona un control centralizado sobre múltiples dispositivos de seguridad y sistemas de vigilancia.
Las consecuencias potenciales incluyen acceso no autorizado a datos de vigilancia confidencial, manipulación de sistemas de seguridad y la posibilidad de movimiento lateral dentro de la infraestructura de la red.
Las organizaciones que utilizan los sistemas Aplication de HikVision afectados enfrentan riesgos de violaciones de datos, interrupciones del servicio y compromiso potencial de toda su infraestructura de seguridad.
La naturaleza no autenticada de la vulnerabilidad significa que los atacantes pueden explotarlo sin requerir credenciales válidas, reduciendo significativamente la barrera de entrada para los actores maliciosos.
Esto ha llevado a su clasificación como una vulnerabilidad de explotación conocida, lo que indica una explotación activa en la naturaleza.
Factores de riesgo DeteaLSafected Products: HikVision HikCentral (anteriormente “Plataforma de gestión de seguridad integrada”)- Versiones de componente Aplicar- Versiones utilizando vulnerable FastJSON LibraryImpApacTremote Ejecution (RCE) Explote Requisitos Prerrequisitos- Acceso a la red Acceso a/Bic/SSOservice/V1/Aplicar Aplicar la capacidad EndSePpoint-EndAnting para enviar Postes de HTTP- No se requiere acceso de autenticación a Malicato Puntaje10.0 (crítico)
Mitigaciones
Las organizaciones deben evaluar inmediatamente sus implementaciones de HikVision Aplicando e implementar la segmentación de red para limitar la exposición.
El monitoreo del tráfico de red inusual al punto final/BIC/Ssoservice/V1/ApplyCT puede ayudar a detectar intentos de explotación.
Si bien los parches específicos no se han detallado en los avisos actuales, los usuarios deben comunicarse con el soporte de HikVision para la orientación de remediación inmediata y considerar restringir temporalmente el acceso al punto final vulnerable hasta que los parches estén disponibles.
Los equipos de seguridad también deben implementar un monitoreo adicional para los intentos de conexión LDAP de sus sistemas de hikVision y considerar la implementación de sistemas de detección de intrusos basados en la red para identificar posibles intentos de explotación que se dirigen a esta vulnerabilidad crítica.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
