Lỗ hổng CVE mới được công bố trong dòng XM530 IP Cameras của Hangzhou Xiongmai Technology đang tạo ra rủi ro an ninh mạng nghiêm trọng cho các hệ thống giám sát được kết nối mạng. Lỗ hổng này được theo dõi dưới mã cảnh báo ICSA-26-113-05 và định danh chính thức là CVE-2025-65856.
Lỗ hổng CVE-2025-65856 trong XM530 IP Cameras
Điểm cốt lõi của lỗ hổng CVE nằm ở việc thiếu kiểm tra xác thực cho một hàm quan trọng trong firmware của camera. Nói cách khác, phần mềm thiết bị không xác minh đúng thông tin đăng nhập trước khi cấp quyền quản trị.
Theo CISA advisory ICSA-26-113-05, lỗ hổng này có thể cho phép truy cập từ xa trái phép nếu bị khai thác thành công.
Thông tin kỹ thuật chính
- CVE: CVE-2025-65856
- Mã cảnh báo: ICSA-26-113-05
- CVSS v3: 9.8/10
- Mức độ: Critical
- Loại lỗi: Missing authentication check
- Ảnh hưởng: Bypass authentication, remote access trái phép
Phiên bản firmware bị ảnh hưởng
Lỗ hổng CVE này ảnh hưởng đến firmware XM530V200_X6-WEQ_8M phiên bản V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06.
Do thiết bị IoT loại này thường được triển khai rộng rãi trong môi trường thương mại, phạm vi ảnh hưởng của lỗ hổng CVE có thể rất lớn nếu chưa được cập nhật bản vá hoặc áp dụng biện pháp kiểm soát truy cập phù hợp.
Ảnh hưởng khi khai thác thành công
Nếu bị khai thác, kẻ tấn công không cần xác thực có thể vượt qua màn hình đăng nhập và thực hiện các hành vi sau:
- Xem luồng video trực tiếp.
- Điều khiển cấu hình camera.
- Trích xuất dữ liệu nhạy cảm trực tiếp từ thiết bị.
Đây là một lỗ hổng CVE có thể dẫn đến giám sát trái phép và rò rỉ dữ liệu nhạy cảm từ hệ thống camera IP trong mạng nội bộ.
PoC exploit và mức độ rủi ro
Nhà nghiên cứu bảo mật Luis Miranda Acebedo đã công bố một Proof of Concept (PoC) exploit hoạt động cho lỗ hổng này. CISA đã ghi nhận mã công khai này và chuyển thông tin tới MITRE để theo dõi chính thức.
Dù chưa có báo cáo về tấn công mạng thực tế nhắm vào lỗi này tại thời điểm công bố, việc PoC xuất hiện công khai làm tăng đáng kể nguy cơ bị khai thác tự động.
Một lỗ hổng CVE có PoC công khai thường tạo điều kiện cho các công cụ quét và khai thác hàng loạt được triển khai nhanh chóng trên diện rộng.
IOC
- CVE-2025-65856
- ICSA-26-113-05
- Firmware bị ảnh hưởng: V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06
Nguy cơ đối với môi trường triển khai
Lỗ hổng CVE này đặc biệt đáng chú ý vì các camera IP Xiongmai được triển khai nhiều trong môi trường thương mại trên toàn cầu. Khi thiết bị nằm trong phân đoạn mạng nội bộ nhưng không được kiểm soát chặt, nó có thể trở thành điểm vào cho xâm nhập trái phép.
Với nhóm thiết bị IoT đặt tại các vị trí nhạy cảm, việc một lỗ hổng CVE cho phép bypass xác thực có thể kéo theo nguy cơ quan sát trái phép, thay đổi cấu hình thiết bị và truy cập dữ liệu vận hành.
Biện pháp bảo vệ được khuyến nghị
CISA khuyến nghị quản trị viên mạng triển khai ngay các biện pháp bảo vệ để giảm rủi ro từ lỗ hổng CVE này. Nội dung khuyến nghị tập trung vào kiểm soát truy cập, cô lập thiết bị và rà soát khả năng bị khai thác trong môi trường vận hành.
Trong bối cảnh chưa có dấu hiệu khai thác chủ động ngoài thực tế, việc cập nhật bản vá hoặc áp dụng biện pháp giảm thiểu phù hợp vẫn là ưu tiên nhằm hạn chế nguy cơ bảo mật từ thiết bị giám sát kết nối mạng.
Điểm cần theo dõi khi phát hiện xâm nhập
- Truy cập quản trị không hợp lệ vào camera.
- Thay đổi cấu hình ngoài quy trình vận hành.
- Yêu cầu truy cập vào luồng video từ nguồn không xác thực.
- Dấu hiệu quét tự động nhắm vào thiết bị IoT trong mạng.
Trong môi trường có lỗ hổng CVE tương tự, việc theo dõi nhật ký truy cập, phân tách mạng và kiểm tra định kỳ firmware là các bước cần thiết để giảm khả năng bị khai thác. Khi PoC đã công khai, lỗ hổng CVE thường chuyển từ rủi ro lý thuyết sang rủi ro vận hành thực tế rất nhanh.
