Kritická zraniteľnosť v kamerách od Axis Communications dovoľuje vzdialené vykonávanie kódu
Bezpečnostní výskumníci z Claroty Team82 zverejnili informácie o zraniteľnostiach produktov spoločnosti Axis Communications z ktorých jedna CVE-2025-30023 je kritická a môže byť použitá na útok na serverovú aj klientskú stranu nasadených produktov.
Zraniteľné systémy:
- Axis Camera Station Pro 6.9
- Axis Camera Station 5.58
- Axis Device Manager 5.32
Opis zraniteľnosti:
CVE-2025-30023 (CVSS 3.1 skóre 9.0)
Kritická bezpečnostná zraniteľnosť sa nachádza v proprietárnom protokole Axis.Remoting. Potenciálny vzdialený útočník môže úspešným zneužitím setu exploitov zraniteľností obísť autentifikáciu a získať prístup na úrovni systému.
Zraniteľnosti sú nebezpečné pre produkty ako Axis Device Manager, ktorý organizácie používajú na správu svojich zariadení Axis, ako aj k softvéru Axis Camera Station, ktorý umožňuje koncovým používateľom prístup k videoprenosu z kamier.
Pre proprietárny protokol sú potenciálne zraniteľné zariadenia ľahko vyhladateľné cez známe služby, ktoré skenujú internet. V deň, keď boli zraniteľnosti a ich oprava publikovaná sa na internete nachádzalo viac ako 6500 potenciálne zraniteľných zariadení.
Možné škody:
- Vykonanie škodlivého kódu
- Úplné narušenie dôvernosti, integrity a dostupnosti systému
- Zníženie úrovne zabezpečenia objektu monitorovaného zraniteľnými zariadeniami
Odporúčania:
Administrátorom a používateľom odporúčame vykonať aktualizáciu zasiahnutých systémov na verzie:
- AXIS Camera Station Pro 6.9
- AXIS Camera Station 5.58
- AXIS Device Manager 5.32
Zdroje:
- https://nvd.nist.gov/vuln/detail/CVE-2025-30024
- https://nvd.nist.gov/vuln/detail/CVE-2025-30023
- https://nvd.nist.gov/vuln/detail/CVE-2025-30025
- https://nvd.nist.gov/vuln/detail/CVE-2025-30026
- https://www.axis.com/dam/public/9b/a5/72/cve-2025-30023pdf-en-US-485733.pdf
- https://claroty.com/team82/research/turning-camera-surveillance-on-its-axis