Корпоративная инфраструктура вновь сталкивается с серьёзными вызовами в сфере IoT-безопасности. Исследователи выявили критические уязвимости в IP-камерах двух крупных производителей – Axis Communications и Shenzhen Liandian Communication Technology LTD. Эти бреши, некоторые из которых уже активно эксплуатируются, ставят под угрозу не только системы видеонаблюдения, но и целостность корпоративных сетей.

В чём кроются ключевые уязвимости и как с ними бороться, объяснила Ирина Дмитриева, инженер-аналитик компании «Газинформсервис», эксперт в области кибербезопасности.

В первом случае речь идёт о комплексе систем видеонаблюдения с сетевыми функциями компании Axis Communications. Критическая уязвимость CVE-2025-30023 (CVSS 9.0) затрагивает ключевую линейку решений компании: AXIS Camera Station Pro, AXIS Camera Station 5 и AXIS Device Manager.

«Проблема была обнаружена в протоколе связи между клиентом и сервером. В результате неправильной обработки сериализованных данных предоставляется возможность получить аутентифицированный доступ к системе при отсутствии взаимодействия с пользователем и выполнить RCE», — объяснила инженер-аналитик. Она подчёркивает, что такие камеры активно используются для управления сетями IP-камер, видеоаналитикой и для централизованного управления устройствами в самых разных отраслях, в частности в ритейле. Компания Axis оперативно выпустила исправленные версии уязвимого ПО: для AXIS Camera Station Pro — версия 6.9, для AXIS Camera Station — версия 5.58, и для AXIS Device Manager — версия 5.32. Теперь пользователям нужно только обновить системы.

В то же время IP-камера OEM-производства Shenzhen Liandian Communication Technology LTD оказалась подвержена критической уязвимости CVE-2025-7503 (CVSS 10.0) максимального балла критичности, которая позволяет повысить привилегии до привилегированных через недокументированный сервис Telnet, включенный по умолчанию по 23 порту. Уязвимость связана с прошивкой камеры (AppFHE1_V1.0.6.0) и ядром (KerFHE1_PTZ_WIFI_V3.1.1), а также с аппаратным обеспечением (HwFHE1_WF6_PTZ_WIFI_20201218).  
«Злоумышленник, имеющий доступ к сети, может пройти аутентификацию, используя учётные данные по умолчанию, и получить доступ администратора. Этот уровень доступа позволяет злоумышленнику просматривать или перенаправлять прямые трансляции, запускать сетевые атаки и внедрять бэкдоры», — подчеркнула эксперт.

В крупных учреждениях такой доступ может позволить вести наблюдение, манипулировать данными или использовать камеры в качестве опорных точек для внутренних атак.  Сообщается, что производитель отказался отключать Telnet и исправлять уязвимость.

Ирина Дмитриева подчеркнула, что эти инциденты иллюстрируют фронт угроз в сфере IoT-безопасности – от сложных уязвимостей в профессиональном ПО до архитектурных просчётов в бюджетных устройствах. Случай Axis — это идеальная брешь для горизонтального перемещения после преодоления сетевого периметра. Безусловно, уязвимость трудная в реализации, но опытным злоумышленникам она может оказаться удобным подспорьем для расширения поверхности атаки изнутри. Пользователям Axis незамедлительно необходимо обновить ПО до исправленных версий.

В кейсе Shenzhen общая проблема недорогих IoT-гаджетов: разрозненность прошивок и протоколов передачи данных, обилие недокументированных функций и небезопасных настроек по умолчанию создаёт обширную поверхность атаки как на компании, так и на личную жизнь людей, устанавливающих подобные устройства у себя, например, на придомовом участке или в доме. В данном случае рекомендуется изолировать IP-камеры производителя от основных сетей с помощью VLAN, блокировать Tenlet по 23 порту на уровне брэндмауэра и отслеживать исходящих трафик на предмет необычного поведения.

«Мониторинг сетевого трафика — это ответственная стратегическая задача, которая критически важна для каждой компании, — напоминает эксперт. — Обеспечить проактивную защиту и оперативный поиск паттернов отклонения в сетевом трафике может GSOC компании "Газинформсервис". Специалисты подскажут, как снизить угрозы и не упускать из виду потенциальные векторы атак на инфраструктуру. Тем не менее недоверенных поставщиков IoT-гаджетов рекомендуется заменить на уровне проектирования систем физической безопасности».

Справка о компании:

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, добывающей промышленности, а также органов государственной власти, промышленных предприятий и учреждений финансового и телекоммуникационного секторов.