Производитель камер «прокололся» с защитой. Теперь хакеры видят всё.

Axis Communications Claroty уязвимости видеонаблюдение камеры удаленный доступ
Производитель камер «прокололся» с защитой. Теперь хакеры видят всё.
Axis Communications Claroty уязвимости видеонаблюдение камеры удаленный доступ

Грубые ошибки в коде сделали из средств наблюдения — инструменты слежки.

image

Специалисты из компании Claroty выявили ряд серьёзных уязвимостей в линейке продуктов видеонаблюдения Axis Communications, которые при успешной эксплуатации позволяют полностью перехватить контроль над устройствами. Под угрозой оказались сервер Axis Device Manager, применяемый для настройки и администрирования парка камер, и клиентское ПО Axis Camera Station, предназначенное для просмотра видеопотоков.

Ошибки позволяют атакующему выполнить удалённый код без авторизации, что открывает путь к проникновению в корпоративную сеть. Обнаруженные проблемы связаны с дефектами в используемом протоколе взаимодействия между клиентом и сервером, а также в отдельных сервисах. Проведённые сетевые сканирования выявили более 6,5 тысячи серверов, открыто публикующих собственный протокол Axis.Remoting. Это создаёт широкие возможности для точечных атак с использованием выявленных уязвимостей.

Среди зафиксированных проблем значатся четыре CVE:

  • CVE-2025-30023 с оценкой 9,0 по CVSS затрагивает протокол обмена данными между клиентом и сервером и позволяет аутентифицированному пользователю выполнить удалённый код. Производитель устранил её в версиях Camera Station Pro 6.9, Camera Station 5.58 и Device Manager 5.32.

  • CVE-2025-30024 (6,8 балла) также связана с этим протоколом, но даёт возможность организации атаки «злоумышленник посередине» и была закрыта в Device Manager 5.32.

  • CVE-2025-30025 (4,8 балла) связана с обменом между серверным процессом и управляющей службой и может привести к повышению привилегий на локальной машине, исправлена в Camera Station Pro 6.8 и Device Manager 5.32.

  • CVE-2025-30026 (5,3 балла) позволяет обойти аутентификацию на сервере Axis Camera Station, устранена в Camera Station Pro 6.9 и Camera Station 5.58.

Эксплуатация этих багов открывает злоумышленнику возможность занять позицию «человек посередине» между сервером и клиентами, перехватывая и модифицируя запросы и ответы, а также инициировать произвольные операции на обеих сторонах.

Получив системный доступ во внутреннем сегменте сети, атакующий сможет управлять всеми камерами в инфраструктуре: перехватывать или подменять трансляции, отключать видеопотоки, обходить механизмы авторизации и запускать произвольный код на устройствах. В реальных атаках эти уязвимости пока не замечены, однако их потенциальная опасность оценивается как крайне высокая.

Axis Communications выпустила исправления, и пользователям рекомендуется как можно скорее обновить программное обеспечение до защищённых версий, чтобы исключить риск удалённого взлома и компрометации видеосистем.