Schwere 1-Click-Lücke im IDIS ICM Viewer

Eine kritische Schwachstelle im IDIS Cloud Manager Viewer ermöglicht es Angreifern, mit 1-Click-Angriffen die Browser-Sandbox zu überwinden, Schadcode auf dem Host auszuführen und angeschlossene Geräte wie IP-Kameras anzuzapfen. Wer das Update nicht umgehend installieren kann, sollte die Lösung deinstallieren.

Nicht nur die Nutzer von IDIS haben offensichtlich Updatebedarf (Foto: CRN Screenshot icm.idisglobal.com)

Die Sicherheitsforscher des Team82 von Claroty haben eine schwerwiegende Schwachstelle im IDIS Cloud Manager (ICM) Viewer ausgemacht, der Anwendern über einen mit der Cloud verbundenen Windows-Rechner Zugriff auf Live-Videofeeds, Aufzeichnungen und Suchbilder gibt. Bei der unter CVE-2025-12556 laufenden Lücke handelt es sich demnach um eine 1-Click-Remote-Code-Execution-Schwachstelle (1-Click RCE). Dabei kann ein leichtsinniger Click eines Opfers von Angreifern dazu genutzt werden, Schadcode im Kontext des Host-Computers des ICM Viewer auszuführen. Weil sie aufgrund des Fehlers die Browser-Sandbox überwinden können, wird die in so einem Fall normalerweise greifende Beschränkung der Ausführung von JavaScript im Browser ausgehebelt. Dadurch können die Angreifer über den kompromittierten Host und damit verbundene Geräte wie etwa IP-Kameras beispielsweise potenzielles Material für einen gezielten Spear-Phishing-Angriff sammeln, oder ihn über laterale Bewegungen im Netzwerk für Angriffe auf weitere Endpunkte missbrauchen.

Lösung: Update oder Löschen

IDIS empfiehlt allen Nutzern des ICM Viewers deshalb dringend, ihre Geräte auf Version 1.7.1 zu aktualisieren. Andernfalls könne der ICM Viewer nicht mehr verwendet werden. Nutzer, die den ICM Viewer nicht einsetzen, "müssen das Programm unverzüglich von Ihrem System deinstallieren", warnt der südkoreanische Hersteller von Videoüberwachungssystemen weiter.

Die amerikanische Cybersicherheitsbehörde CISA empfiehlt Betroffenen eine angemessene Folgenabschätzung und Risikobewertung durchzuführen, bevor sie Gegenmaßnahmen einleiten, und erinnert an grundsätzliche Sicherheitsstrategien für entsprechende Umgebungen:

Minimieren Sie die Netzwerkexposition für alle Steuerungssystemgeräte und/oder -systeme und stellen Sie sicher, dass sie nicht über das Internet zugänglich sind.
Platzieren Sie Steuerungssystemnetzwerke und Remote-Geräte hinter Firewalls und isolieren Sie sie von Unternehmensnetzwerken.
Wenn ein Fernzugriff erforderlich ist, verwenden Sie sicherere Methoden wie Virtual Private Networks (VPNs), wobei Sie sich bewusst sein sollten, dass VPNs Schwachstellen aufweisen können und auf die aktuellste verfügbare Version aktualisiert werden sollten. Beachten Sie auch, dass VPNs nur so sicher sind wie die angeschlossenen Geräte.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden