A Claroty anunciou a descoberta de uma vulnerabilidade de segurança no ecossistema de vigilância IP da IDIS, uma das maiores fabricantes globais de soluções de vídeo monitoramento. A falha, catalogada como CVE-2025-12556, foi identificada pelo Team82, braço de pesquisa de ameaças da companhia.
Batizada de “One-Click to Pwn”, a vulnerabilidade permite que cibercriminosos realizem execução remota de código a partir de um simples clique em um link malicioso. O problema afeta o ICM Viewer, software de visualização utilizado em máquinas Windows, e pode levar ao comprometimento de redes corporativas e infraestruturas críticas.
Impacto e vetor de ataque
Classificado como 1-Click RCE, o ataque exige apenas que a vítima, geralmente um operador de segurança ou administrador de TI, clique em um link malicioso enquanto o software da IDIS está instalado na máquina.
Ao explorar a falha, o invasor pode executar código diretamente no sistema operacional, contornando proteções tradicionais do navegador. A partir do acesso inicial, é possível realizar movimentação lateral na rede, comprometendo câmeras, sensores e outros ativos conectados.
“A gravidade desta falha está na sua simplicidade de execução versus o alto impacto potencial. Em um cenário de ataque direcionado ou campanha de phishing sofisticada, um único clique em um link malicioso enviado por e-mail pode conceder a um invasor acesso total a uma estação de monitoramento. A partir daí, o criminoso pode realizar movimentação lateral para comprometer câmeras, sensores e outros ativos críticos da rede industrial ou corporativa. Esta descoberta do Team82 da Claroty é um lembrete vital de que a conveniência da nuvem não deve comprometer a higiene básica de segurança no endpoint”, explica Italo Calvano, Vice-Presidente da Claroty para a América Latina.
Análise técnica das vulnerabilidades
A investigação do Team82 identificou quatro falhas que, combinadas, possibilitaram a exploração da vulnerabilidade.
O componente CWSService não validava a origem das requisições, ausência de política de CORS, permitindo comunicação com o WebSocket fora do domínio idisglobal.com.
Embora as mensagens fossem criptografadas, a chave utilizada era fixa, o que possibilitava a um invasor simular uma comunicação legítima e se conectar ao WebSocket.
O CWGService não realizava validação nem sanitização adequada dos argumentos recebidos, aceitando parâmetros sem verificação.
O WCMViewer também não verificava a legitimidade dos argumentos antes de encaminhá-los ao componente CEF, Chromium Embedded Framework, ampliando o risco de exploração.
Mitigação e atualização de segurança
A IDIS colaborou com a Claroty e com a CISA, agência norte-americana de segurança cibernética e infraestrutura, para mitigar o problema. Uma atualização de segurança já foi disponibilizada para corrigir a vulnerabilidade no ICM Viewer.
O relatório técnico detalhado e o vídeo da prova de conceito estão disponíveis no blog do Team82 da Claroty.
