Đơn vị nghiên cứu Team82 của Claroty đã công bố bốn lỗ hổng CVE nghiêm trọng ảnh hưởng đến hệ sinh thái giám sát video của Axis Communications, có khả năng gây nguy hiểm cho hàng ngàn tổ chức trên toàn thế giới. Các lỗ hổng này, tập trung vào giao thức truyền thông độc quyền Axis.Remoting, cho phép thực thi mã từ xa (RCE) trước xác thực trên các thành phần chính như Axis Device Manager (ADM) và Axis Camera Station.

Axis, nhà cung cấp camera IP hàng đầu Thụy Điển, đã nhanh chóng xác nhận các vấn đề và phát hành bản vá sau khi Team82 tiết lộ riêng.

Tổng quan về các Lỗ hổng Axis.Remoting Protocol

Các lỗ hổng CVE được theo dõi bao gồm CVE-2025-30023 (điểm CVSS v3.1 là 9.0, xếp loại Critical do CWE-502: Deserialization of Untrusted Data), CVE-2025-30024, và CVE-2025-30026. Chúng khai thác điểm yếu trong việc xử lý mTLS (mutual TLS), xác thực NTLMSSP và RPC (remote procedure calls) dựa trên JSON của giao thức.

Các phiên bản bị ảnh hưởng bao gồm:

• AXIS Camera Station Pro trước 6.9
• AXIS Camera Station trước 5.58
• AXIS Device Manager trước 5.32

Tất cả các phiên bản này đều hỗ trợ quản lý và xem các hệ thống camera trong môi trường doanh nghiệp như cơ sở chính phủ, sân bay và khuôn viên công ty.

Giao thức Axis.Remoting, được thiết kế cho tương tác client-server an toàn trong môi trường Windows dựa trên .NET, gói gọn truyền thông trong TLS nhưng không xác thực đúng cách các chứng chỉ tự ký. Điều này cho phép các cuộc tấn công MiTM (man-in-the-middle).

Chi tiết kỹ thuật và Khai thác

Khai thác Deserialization và Remote Code Execution (CVE-2025-30023)

Phân tích sâu hơn cho thấy giao thức dựa vào các mẫu ServiceContract cho RPC, nơi các đối số không nguyên thủy trải qua quá trình deserialization bằng cách sử dụng TypeNameHandling.Auto trong bộ tuần tự hóa JSON. Cấu hình này cho phép kẻ tấn công chèn các trường $type độc hại, tạo ra các payload kích hoạt remote code execution trong quá trình khởi tạo đối tượng.

Các nhà nghiên cứu đã xác nhận khả năng này bằng cách sử dụng các công cụ như ysoserial.net để thực thi các script PowerShell với đặc quyền NT AUTHORITYSYSTEM trên các máy chủ.

Bỏ qua xác thực NTLMSSP và MiTM (CVE-2025-30024)

Kẻ tấn công có thể chặn các kết nối, giải mã lưu lượng và khai thác việc thiếu chữ ký tin nhắn của NTLMSSP để thực hiện bỏ qua xác thực theo kiểu pass-the-hash. Điều này cho phép mạo danh các client hợp pháp, chuyển tiếp thách thức đến người dùng được xác thực và sửa đổi các yêu cầu để gọi các phương thức RPC tùy ý.

Lỗ hổng Bypassing Xác thực qua TCP/55752 (CVE-2025-30026)

Tăng thêm rủi ro là một giao thức dự phòng qua HTTP trên TCP/55752. Giao thức này triển khai một kênh nhị phân có trạng thái với mã hóa AES và trao đổi khóa RSA, nhưng lại để lộ một endpoint không được xác thực tại /_/. Endpoint này bỏ qua sơ đồ xác thực Negotiate (yêu cầu Kerberos hoặc NTLM).

Điều này cho phép kẻ tấn công không xác thực khởi tạo các phiên Axis.Remoting và kết hợp với lỗ hổng deserialization để đạt được RCE trước xác thực hoàn toàn, từ đó giành quyền kiểm soát các hệ thống camera được quản lý. Đây là một cảnh báo CVE cần được ưu tiên xử lý.

Tác động và Khả năng Khai thác

Team82 cũng minh họa khả năng di chuyển ngang bằng cách tận dụng Axis’s ACAP Native SDK để tạo các gói độc hại. Các gói này có thể được cài đặt thông qua các máy chủ đã bị xâm nhập, đạt được thực thi mã trên từng camera, cho phép chiếm quyền kiểm soát nguồn cấp dữ liệu hoặc tắt thiết bị.

Các cuộc quét Internet bằng các công cụ như Censys và Shodan đã xác định hơn 6.500 dịch vụ Axis.Remoting bị lộ trên Internet, với hơn một nửa ở Hoa Kỳ. Mỗi dịch vụ này có khả năng giám sát hàng trăm camera trong các lĩnh vực quan trọng. Việc bắt tay giao thức NTLMSSP cũng làm rò rỉ các chi tiết nhạy cảm như tên máy chủ và các miền Active Directory, tạo điều kiện thuận lợi cho các cuộc tấn công trinh sát và tấn công có mục tiêu hơn.

Giải pháp và Biện pháp Khắc phục

Tư vấn từ Axis xác nhận không có khai thác công khai nào được biết đến tính đến thời điểm công bố, nhấn mạnh sự vắng mặt của việc khai thác trước đó và ghi nhận công lao của các nhà nghiên cứu đạo đức. Theo báo cáo của Claroty Team82, các tổ chức được khuyến nghị nâng cấp ngay lập tức lên các phiên bản đã được vá lỗi:

• AXIS Camera Station Pro 6.9
• AXIS Camera Station 5.58
• AXIS Device Manager 5.32

Các bản cập nhật có sẵn thông qua các kênh hỗ trợ của Axis. Đối với những tổ chức không thể cập nhật ngay lập tức, các bước giảm thiểu bao gồm:

• Hạn chế phơi bày mạng của các cổng 55752-55754.
• Bật các quy tắc tường lửa nghiêm ngặt.
• Giám sát lưu lượng NTLM bất thường.

Sự cố này nhấn mạnh những rủi ro của các giao thức độc quyền trong hệ sinh thái IoT. Các lỗ hổng CVE deserialization và điểm yếu xác thực có thể dẫn đến việc xâm phạm mạng rộng lớn, có khả năng làm suy yếu cơ sở hạ tầng an ninh vật lý dựa vào các giải pháp cao cấp của Axis.