CVE-2025-14746: 宁远达TC155中的身份验证不当漏洞
严重性:中等 类型:漏洞
CVE-2025-14746
在宁远达TC155 57.0.2.0版本中发现一个漏洞。受影响的部分是组件RTSP实时视频流端点的一个未知功能。此类操作导致身份验证不当。攻击必须从本地网络内部发起。漏洞利用方法已公开披露,并可能被使用。供应商已提前收到此披露的联系,但未做出任何回应。
AI分析
技术摘要
CVE-2025-14746是在宁远达TC155设备(版本57.0.2.0)中发现的一个漏洞,具体存在于RTSP实时视频流端点组件中。该缺陷导致身份验证不当,允许攻击者绕过身份验证机制,而无需特权或用户交互。受影响的具体功能未指明,但该漏洞使得能够未经授权访问设备的视频流功能。漏洞利用要求攻击者与设备处于同一本地网络,将攻击媒介限制在内部威胁行为者或已遭入侵的内部主机。
CVSS 4.0评分为5.3,反映了中等严重程度,其中攻击媒介为相邻网络(AV:A),攻击复杂度低(AC:L),无需特权(PR:N),无需用户交互(UI:N),对机密性造成部分影响(VC:L)。供应商未对披露做出回应,且未发布任何补丁或缓解措施。目前尚未发现野外活跃的已知漏洞利用,但公开披露增加了漏洞利用尝试的风险。此漏洞可能允许未经授权的用户访问实时视频流,可能导致隐私侵犯、未经授权的监视或信息泄露。供应商缺乏回应和补丁可用性增加了组织实施补偿控制的紧迫性。考虑到该设备的性质(可能用于监控或监视),未经授权的访问可能对运营和安全造成影响,特别是在敏感环境中。
潜在影响
对于欧洲组织而言,宁远达TC155设备中的身份验证不当漏洞可能导致未经授权访问实时视频流,损害机密性,并可能暴露敏感的监控数据。这可能影响依赖这些设备进行安全监控的行业,如关键基础设施、交通、公共安全和私营企业。需要本地网络访问这一要求限制了远程利用,但增加了对内部威胁或受损网络内横向移动的担忧。未经授权的访问还可能通过为攻击者提供侦察或实时监控能力来促进进一步的攻击。供应商补丁的缺失增加了风险窗口,迫使组织依赖网络级缓解措施。欧洲的隐私法规(如GDPR)可能会在此漏洞导致视频数据暴露时施加法律和财务后果。此外,如果攻击者利用此漏洞转向其他系统,拥有互联物联网或监控生态系统的组织可能面临级联风险。
缓解建议
- 实施严格的网络分段,将宁远达TC155设备与普通用户网络隔离,仅限受信任的管理和监控主机访问。
- 使用访问控制列表(ACL)和防火墙规则,将RTSP协议流量限制在本地网络内的授权设备和用户。
- 使用入侵检测系统(IDS)或网络行为异常检测工具持续监控网络流量,以发现异常的RTSP连接尝试或未经授权的访问模式。
- 在实时视频流非必需的设备上禁用或限制RTSP流媒体服务。
- 强制执行严格的物理安全控制,以防止未经授权的本地网络访问。
- 维护所有宁远达TC155设备的清单,并跟踪固件版本以识别受影响的设备。
- 与供应商或社区合作获取更新或非官方补丁,并在可用时及时应用。
- 考虑部署补偿控制,例如用于内部访问设备流的VPN或加密隧道。
- 教育内部员工了解本地网络威胁的风险,并强制执行最小权限原则。
- 准备针对视频监控系统未经授权访问的特定事件响应计划。
受影响国家
德国、法国、英国、意大利、西班牙、荷兰、波兰
来源: CVE数据库 V5 发布日期: 2025年12月16日星期二