HackerNews 编译,转载请注明出处:
网络安全研究人员披露了Axis Communications视频监控产品中的多个安全漏洞,若被成功利用,可能导致设备被完全控制。
“攻击可实现在Axis Device Manager(用于配置和管理摄像头群的服务器)及Axis Camera Station(用于查看摄像头画面的客户端软件)上进行认证前远程代码执行,”Claroty研究员Noam Moshe表示。“此外,通过扫描暴露的Axis.Remoting服务,攻击者可枚举易受攻击的服务器和客户端,并发起高度精准的定向攻击。”
已识别的漏洞列表如下:
- CVE-2025-30023(CVSS评分:9.0)— 客户端与服务器间通信协议缺陷,可导致已认证用户实施远程代码执行攻击(已在Camera Station Pro 6.9、Camera Station 5.58和Device Manager 5.32版本修复)CVE-2025-30024(CVSS评分:6.8)— 客户端与服务器间通信协议缺陷,可被用于发起中间人(AitM)攻击(已在Device Manager 5.32版本修复)CVE-2025-30025(CVSS评分:4.8)— 服务器进程与服务控制间通信协议缺陷,可导致本地权限提升(已在Camera Station Pro 6.8和Device Manager 5.32版本修复)CVE-2025-30026(CVSS评分:5.3)— Axis Camera Station Server中的缺陷,可导致认证绕过(已在Camera Station Pro 6.9和Camera Station 5.58版本修复)
成功利用上述漏洞可使攻击者获得Camera Station与其客户端之间的中间人位置,从而能够篡改请求/响应,并在服务器或客户端系统上执行任意操作。目前尚无证据表明这些漏洞已被野外利用。
Claroty称,全球有超过6500台服务器在互联网上暴露了其专有协议Axis.Remoting及相关服务,其中近4000台位于美国。
“成功利用可使攻击者获得内网系统级访问权限,并控制特定部署中的每个摄像头,”Moshe指出。“攻击者可劫持、监视或关闭视频流,利用这些安全问题绕过摄像头认证,并在设备上实现认证前远程代码执行。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
