在数字化安防领域,海康威视作为行业领军企业,其产品与系统被广泛应用于各类场景,为保障公共安全与企业运营发挥着关键作用。然而,近期海康威视applyCT组件曝出的高危漏洞(CVE-2025-34067),却如一颗重磅炸弹,在网络安全与安防行业激起千层浪,因其基于Fastjson的未授权远程代码执行特性,被评定为CVSS 10.0的最高风险等级,给众多依赖该组件的用户带来了极大的安全威胁。
一、漏洞背景与相关组件介绍
applyCT(原HikCentral)是海康威视面向商业、政府和工业领域推出的集中式安全管理平台,承担着大规模监控安防设备的管理重任。它整合了先进的分析功能,如智能视频分析、行为检测等,能从海量监控数据中提取关键信息,辅助决策;同时具备可扩展架构,能够灵活适应不同规模和复杂程度的安防项目需求,无论是小型企业园区,还是大型城市安防网络,都能通过该平台实现高效的监控与管理,因此成为高安全等级环境的热门之选 。
Fastjson作为一款广泛使用的Java JSON解析库,在Java开发领域占据重要地位。它具有出色的解析速度与性能,能快速将JSON格式数据转换为Java对象,反之亦然。其提供的“auto-type”特性,允许在一定条件下动态加载Java类,这在提升开发灵活性的同时,也埋下了安全隐患。当该特性配置不当,就如同为系统打开了一扇危险的后门,可能被攻击者恶意利用。
二、漏洞原理与攻击过程
此次CVE-2025-34067漏洞存在于applyCT组件的 /bic/ssoService/v1/applyCT 接口。由于使用了存在缺陷的Fastjson版本,攻击者可利用“auto-type”特性构造恶意JSON对象,实现未授权的远程代码执行。
1. 构造恶意请求:攻击者精心构造一个特制的POST请求,向目标端点 /bic/ssoService/v1/applyCT 发送。该请求携带经过特殊设计的恶意JSON载荷。
2. 触发反序列化:恶意JSON载荷中的内容会触发Fastjson对JdbcRowSetImpl类的反序列化操作。JdbcRowSetImpl是Java中用于数据库操作的类,在正常情况下,它负责与数据库建立连接、执行SQL语句等操作。但在漏洞利用场景下,它被攻击者利用来达成恶意目的。
3. 连接恶意服务器:在反序列化过程中,攻击者通过操纵数据源参数,使系统连接到其控制的LDAP服务器。LDAP(轻量级目录访问协议)服务器通常用于存储和管理网络资源信息,此时却被攻击者用于提供恶意类文件。
4. 执行恶意代码:系统从攻击者控制的LDAP服务器加载恶意类后,攻击者就成功绕过了系统的身份验证与安全防护机制,在目标系统上实现远程代码执行,进而可以执行任意恶意指令,如窃取敏感数据、篡改系统配置、植入后门程序等。
三、漏洞危害
1. 数据安全威胁:攻击者可通过漏洞直接获取监控视频数据、设备配置信息以及用户身份验证信息等。这些数据一旦泄露,不仅会侵犯个人隐私,对于企业和政府机构而言,还可能导致商业机密、战略情报等重要信息外流,造成难以估量的损失。
2. 系统控制风险:获得远程代码执行权限后,攻击者能够对安防系统进行全面控制,关闭监控设备、篡改视频流内容,使安防系统形同虚设,无法发挥正常的安全防护作用。在关键场所,如金融机构、交通枢纽、政府部门等,这将严重威胁到公共安全与社会稳定。
3. 网络攻击跳板:被攻陷的安防系统还可能被攻击者用作进一步渗透其他网络的跳板,借助安防系统所在的内部网络,攻击者可以向周边网络发起攻击,扩大攻击范围,造成更大规模的网络安全事件。
四、应对措施
1. 紧急排查与防护:使用海康威视applyCT或HikCentral产品的组织,应立即检查系统是否暴露 /bic/ssoService/v1/applyCT 接口。通过网络流量监测、端口扫描等手段,及时发现潜在的风险点,并暂时关闭不必要的对外接口,降低攻击面。
2. 升级与补丁修复:密切关注海康威视官方发布的安全公告,尽快升级Fastjson库至安全版本,或者及时应用海康威视提供的针对该漏洞的补丁。在升级过程中,需严格按照官方指南操作,做好数据备份,防止因升级过程中的意外情况导致系统故障或数据丢失。
3. 加强安全监测:部署入侵检测系统(IDS)和入侵防御系统(IPS),实时监控网络流量,重点关注可疑的出站LDAP流量。一旦发现异常流量,立即进行阻断,并深入调查流量来源与目的,及时采取应急响应措施。
海康威视applyCT组件的CVE-2025-34067漏洞敲响了网络安全警钟,无论是安防设备供应商、系统集成商还是终端用户,都需高度重视,加强安全意识,积极采取有效措施应对,共同维护安防系统与网络环境的安全稳定。