コンテンツにスキップするには Enter キーを押してください

#BHUSA: セキュリティ研究者がAxis社CCTVソフトウェアの重大な脆弱性を発見

投稿日 2025年8月7日

執筆者

研究者がCCTVカメラや監視機器の大手メーカーであるAxis Communicationsの製品に4つの重大な脆弱性を発見したことで、数千の組織が攻撃の危険にさらされている可能性があります。

OTセキュリティ企業Clarotyとその研究部門Team82は、8月6日にラスベガスで開催されたBlack Hat USAで調査結果を発表しました。

Axis独自クライアント-サーバー通信プロトコルの脆弱性

Team82の研究者Noam Moshe氏が、すべてAxisの独自通信プロトコル「Axis.Remoting」に起因する脆弱性を発見しました。このプロトコルはクライアントアプリケーションとAxisのサーバー間で使用されています。

発見後、Team82は迅速にAxis Communicationsへ通知し、同社はこれを公表しました。Axisは認定された共通脆弱性識別子(CVE)番号付与機関(CNA)です。

脆弱性は以下の通り追跡されています:

  • CVE-2025-30023:Axis Camera Station Proバージョン6.9未満、Axis Camera Stationバージョン5.58未満、Axis Device Managerバージョン5.32未満に影響する重大な脆弱性(CVSSスコア:9)。認証済みユーザーによるリモートコード実行(RCE)攻撃が可能になる恐れがあります。
  • CVE-2025-30024:Axis Device Managerバージョン5.32未満に影響する中程度の脆弱性(CVSSスコア:6.8)。中間者(MitM)攻撃に悪用される可能性があります。
  • CVE-2025-30025:Axis Camera Stationバージョン5、Axis Camera Station Proバージョン6.7未満、Axis Device Managerバージョン5.32未満に影響する中程度の脆弱性(CVSSスコア:4.8)。ローカル権限昇格につながる恐れがあります。
  • CVE-2025-30026:Axis Camera Stationバージョン5.58未満、Axis Camera Station Proバージョン6.9未満に影響する中程度の脆弱性(CVSSスコア:5.3)。認証回避攻撃が可能になる恐れがあります。

メーカーはアドバイザリで、これら4つの脆弱性のいずれも実際に悪用された形跡は確認されていないと述べています。

また、以下のソフトウェアアップデートでパッチを公開しました:

  • Axis Camera Station Pro 6.9
  • Axis Camera Station 5.58
  • Axis Device Manager 5.32

公開情報にもかかわらず、CVEプログラムのウェブサイト上ではこれらのCVEエントリは現在も「予約済み」ステータスとなっており、8月6日のBlack HatでのTeam82セッション後にさらなる情報が公開される見込みです。

米国国家脆弱性データベース(NVD)のウェブサイトでは、4件の脆弱性はいずれも「分析待ち」ステータスで登録されており、NVDチームによる詳細なデータ追加がまだ行われていないことを示しています。

The Axis Camera Station software allows users to view the camera feed of multiple Axis cameras. Source: Team82, Claroty
Axis Camera Stationソフトウェアは、複数のAxisカメラの映像をユーザーが閲覧できるようにします。出典:Team82, Claroty

6,500台のAxis Communicationsサーバーが露出

悪用の記録は確認されていないものの、Team82の研究者は、CensysやShodanなどのツールを使ったインターネットスキャンの結果、このプロトコルとそのサービスをインターネット上に公開しているサーバーが6,500台以上存在し、そのうち半数以上(約4,000台)が米国内であることを発見しました。

「これらのサーバーのそれぞれが、数百から数千台の個別カメラを管理している可能性があります。世界各地で中国製技術の使用が禁止されている現状では、組織が選択できるベンダーが限られており、これらの導入プラットフォームの保護がより重要になっています」と研究者らは述べています。

Team82は、Axis.Remoting通信プロトコルの脆弱性を狙うエクスプロイトチェーンを開発しました。

調査によると、この攻撃により、認証されていないアクセスがAxis Device ManagerおよびAxis Camera Stationの両方で可能になります。

これらの脆弱性が悪用されると、攻撃者は内部ネットワークに侵入し、サーバーまたはクライアントシステム上でリモートでコードを実行できる可能性があります。

さらにTeam82は、MitMの位置にいる攻撃者がプロトコルの「パス・ザ・リクエスト」脆弱性を悪用し、通信を復号してリモートコード実行を達成できる可能性があることも指摘しました。

Man-in-the-Middle (MiTM) setup in an Axis.Remoting environment that allows an attacker to MiTM a connection between a client and an application. Source: Team82, Claroty
Axis.Remoting環境における中間者(MitM)設定。攻撃者がクライアントとアプリケーション間の接続をMitMできる。出典:Team82, Claroty

また、インターネット上で公開されているAxis.Remotingサービスをスキャンすることで、攻撃者が脆弱なサーバーやクライアントを特定し、精密かつ標的を絞った攻撃を容易にできると警告しています。

「Team82は、私たちの開示に迅速に対応してくれたAxis Communicationsに感謝の意を表します。同社は私たちの報告を受け入れ、パッチやアップデートの作業を迅速に行いました」と報告書には記されています。

写真クレジット:Fredrik Eriksson / ChristianLphoto / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/bhusa-critical-flaws-axis-cctv/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です