Axis CommunicationsのCamera Station ProおよびDevice Managerに深刻な脆弱性(ICSA-25-352-08)
Axis Communicationsの監視ソフトウェアに複数の重大な脆弱性が確認され、リモートコード実行や認証回避のリスクが高まっています。早急なアップデートが必要です。
Axis Communicationsの映像管理ソフトウェアに深刻な脆弱性、システムがリモート攻撃の危険に晒される
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Axis CommunicationsのCamera Station Pro、Camera Station、およびDevice Manager製品に複数の重大な脆弱性が存在することを公表しました。これらの脆弱性が悪用されると、攻撃者による任意コード実行(RCE)、中間者攻撃(MitM)、または認証回避が可能となり、企業の監視システムやIoTセキュリティ環境に深刻なリスクをもたらす可能性があります。
技術的詳細
CISAのアドバイザリ(ICSA-25-352-08)によると、影響を受けるソフトウェアバージョンは以下の通りです:
- Camera Station Pro(バージョン5.30.102より前)
- Camera Station(バージョン5.30.102より前)
- Device Manager(バージョン1.10.1より前)
CISAは現時点では完全な技術的詳細やCVE識別子を公開していませんが、これらの脆弱性はその潜在的な影響の大きさから高リスクに分類されています。悪用されると以下のような攻撃が可能となります:
- リモートコード実行(RCE):攻撃者が影響を受けるシステムを完全に制御し、データの窃取、ラテラルムーブメント、マルウェアの展開が可能となります。
- 中間者攻撃(MitM):攻撃者がカメラ、管理ソフトウェア、バックエンドシステム間のネットワークトラフィックを傍受・改ざんできます。
- 認証回避:不正なユーザーが適切な認証情報なしに、機密性の高い映像フィード、デバイス設定、または管理機能にアクセスできる可能性があります。
影響分析
Axis Communicationsの製品は、政府、医療、交通、産業施設などの重要インフラセクターで広く導入されています。これらの脆弱性が悪用されると、以下のような影響が考えられます:
- セキュアエリアの不正監視
- セキュリティ運用の妨害(例:カメラ映像の改ざん)
- デバイスを起点としたネットワークインフラ全体の侵害
- 規制遵守違反(例:GDPR、HIPAA、NIST基準に基づく映像データ保護の不備)
一部の脆弱性は攻撃の複雑性が低いため、影響を受けるバージョンを使用している組織は、脅威アクターによる積極的なスキャンや攻撃の試みを想定すべきです。
推奨対策
CISAおよびAxis Communicationsは、ユーザーに対して以下の緊急対策を実施するよう強く推奨しています:
- 最新のパッチバージョンへのアップデート:
- Camera Station ProおよびCamera Station:v5.30.102以降にアップグレード。
- Device Manager:v1.10.1以降にアップグレード。
- 脆弱なシステムの隔離:監視デバイスのネットワークトラフィックを分離し、企業ネットワークや運用ネットワークへの露出を最小限に抑えます。
- 不審な活動の監視:**侵入検知/防御システム(IDS/IPS)**を導入し、予期しないRCEの試みやMitM攻撃などの異常なトラフィックパターンを検出します。
- アクセス制御の見直し:すべての管理インターフェースで**多要素認証(MFA)**を有効にし、信頼できるIP範囲にアクセスを制限します。
- デバイス設定の監査:デフォルトの認証情報が変更されていることを確認し、不要なサービス(例:Telnet、FTP)を無効化します。
詳細については、CISAアドバイザリ(ICSA-25-352-08)およびCSAF脆弱性レポートを参照してください。
これらの脆弱性の重大性と、未パッチ環境での広範な悪用の可能性を考慮し、組織は高優先度でのパッチ適用を推奨します。