Selon Team82, une faille critique dans IDIS Cloud Manager Viewer (ICM) permet une exécution de code à distance en un clic (CVE-2025-12556, CVSS v4 8.7) sur Windows, affectant les écosystèmes de vidéosurveillance cloud d’IDIS.

• Contexte: La transition des systèmes de vidéosurveillance IP vers des architectures cloud apporte de nouvelles surfaces d’attaque. IDIS, fabricant sud-coréen, propose ICM (cloud) et un Viewer Windows lancé via un service local (CWGService.exe) après authentification sur le portail web.

• Vulnérabilité: Le service local CWGService (écoutant sur localhost) ne valide pas l’origine des requêtes et accepte des messages WebSocket chiffrés avec une clé constante. Les arguments transmis pour lancer WCMViewer.exe ne sont pas correctement nettoyés et sont relayés au composant CEF (Chromium), permettant une injection d’arguments, notamment le flag Chromium critique « –utility-cmd-prefix » qui conduit à l’exécution de processus arbitraires. Résultat: une page web contrôlée par un attaquant peut, via JavaScript, envoyer un message forgé au service local et déclencher l’exécution de code sur l’hôte. ⚠️

• Impact: Un attaquant peut obtenir l’exécution de code sur la machine hôte, visualiser les flux/archives vidéo, et utiliser la compromission comme pivot pour des mouvements latéraux vers d’autres terminaux, y compris des caméras de surveillance.

• Correctif et suivi: IDIS exige la mise à jour de l’ICM Viewer en v1.7.1 pour les utilisateurs qui continuent à l’employer, sinon sa désinstallation immédiate. CISA a publié l’avis et attribué CVE-2025-12556 (score 8.7).

• Détails techniques clés: Architecture en deux volets (portail web + Viewer Windows), lancement du Viewer via CWGService sur WebSocket local, passage direct d’arguments (URL, token JWT, etc.) au binaire Chromium-CEF, absence de contrôles d’origine/CORS et chiffrement basé sur une clé constante.

TTPs observés:

  • Spear-phishing/ingénierie sociale via lien menant à une page web malveillante.
  • Abus d’un service local sur localhost via WebSocket pour contourner la sandbox du navigateur.
  • Injection d’arguments dans une appli CEF/Chromium avec « –utility-cmd-prefix » pour exécution de code.
  • Manques de sécurité: absence de validation d’origine/CORS, chiffrement à clé constante, absence de sanitisation des arguments.

IOCs connus:

  • Aucun IOC (indicateur de compromission) spécifique fourni dans l’article.

Conclusion: Publication de recherche détaillant une faille « 1-click RCE » dans l’ICM Viewer d’IDIS, son exploitation côté client via WebSocket local et la correction fournie par l’éditeur.

🧠 TTPs et IOCs détectés

TTP

Spear-phishing/ingénierie sociale via lien menant à une page web malveillante; Abus d’un service local sur localhost via WebSocket pour contourner la sandbox du navigateur; Injection d’arguments dans une appli CEF/Chromium avec « –utility-cmd-prefix » pour exécution de code; Manques de sécurité: absence de validation d’origine/CORS, chiffrement à clé constante, absence de sanitisation des arguments.

IOC

Aucun IOC (indicateur de compromission) spécifique fourni dans l’article.

🔗 Source originale : https://claroty.com/team82/research/new-architecture-new-risks-one-click-to-pwn-idis-ip-cameras