A unidade de pesquisa Team82 da Claroty revelou quatro vulnerabilidades que afetam o ecossistema de vigilância por vídeo amplamente implantado da Axis Communications, potencialmente colocando em risco milhares de organizações em todo o mundo.
Essas falhas, centradas no protocolo de comunicação proprietário Axis.Remoting, permitem a execução remota de código (RCE) de pré-autenticação em componentes-chave, como o Axis Device Manager (ADM) e o Axis Camera Station.
A Axis, fornecedora sueca líder de câmeras IP e sistemas relacionados, reconheceu prontamente os problemas e lançou patches após a divulgação privada do Team82.
Falhas críticas no protocolo proprietário Axis.Remoting
As vulnerabilidades, rastreadas em CVEs, incluindo CVE-2025-30023 (pontuação CVSS v3.1 de 9,0, classificada como Crítica devido ao CWE-502: Desserialização de dados não confiáveis), exploram pontos fracos no tratamento do protocolo de TLS mútuo (mTLS), autenticação NTLMSSP e chamadas de procedimento remoto (RPCs) baseadas em JSON.
As versões afetadas incluem o AXIS Camera Station Pro anterior à versão 6.9, o AXIS Camera Station anterior à versão 5.58 e o AXIS Device Manager anterior à versão 5.32, que facilitam o gerenciamento e a visualização de frotas de câmeras em ambientes corporativos, como instalações governamentais, aeroportos e campi corporativos.
O protocolo Axis.Remoting, projetado para interações cliente-servidor seguras no . NET baseados em ambientes Windows, encapsula as comunicações em TLS, mas não consegue validar corretamente os certificados autoassinados, permitindo que ataques man-in-the-middle (MiTM).
Os pesquisadores demonstraram como os invasores podem interceptar conexões, descriptografar o tráfego e explorar a falta de assinatura de mensagens do NTLMSSP para executar desvios de autenticação de passagem de hash (CVE-2025-30024).
Isso permite a representação de clientes legítimos, encaminhando desafios para usuários autenticados e alterando solicitações para invocar métodos RPC arbitrários.
Uma análise mais profunda revelou que o protocolo depende de padrões ServiceContract para RPC, em que argumentos não primitivos passam por desserialização usando TypeNameHandling.Auto em serializadores JSON.
Essa configuração permite que os invasores injetem campos de $type maliciosos, criando cargas úteis que acionam o RCE durante a construção do objeto, conforme validado usando ferramentas como ysoserial.net para executar Scripts do PowerShell em servidores com privilégios NT AUTHORITYSYSTEM.
Para agravar o risco, um protocolo de fallback sobre HTTP no TCP/55752 (CVE-2025-30026) implementa um canal binário com estado com criptografia AES e troca de chaves RSA, mas expõe um endpoint não autenticado em /_/, ignorando o esquema de autenticação Negotiate (exigindo Kerberos ou NTLM).
Isso permite que invasores não autenticados iniciem sessões Axis.Remoting e encadeiem a falha de desserialização para RCE pré-autenticação completa, concedendo controle sobre frotas de câmeras gerenciadas.
A Team82 ilustrou ainda mais o movimento lateral, aproveitando o ACAP Native SDK da Axis para criar pacotes maliciosos, instaláveis por meio de servidores comprometidos, alcançando a execução de código em câmeras individuais e permitindo sequestro ou desligamento de feeds.
Exposição generalizada
Varreduras na Internet por meio de ferramentas como Censys e Shodan identificaram mais de 6.500 serviços Axis.Remoting expostos, com mais da metade nos Estados Unidos, cada um potencialmente supervisionando centenas de câmeras em setores críticos.
O handshake NTLMSSP do protocolo vaza detalhes confidenciais, como nomes de host e domínios do Active Directory, facilitando o reconhecimento direcionado para ataques granulares.
O comunicado da Axis não confirma nenhuma exploração pública conhecida até a publicação, enfatizando a ausência de exploração anterior e creditando pesquisadores éticos.
De acordo com o relatório, as organizações são incentivadas a atualizar imediatamente para as versões corrigidas AXIS Camera Station Pro 6.9, AXIS Camera Station 5.58 e AXIS Device Manager 5.32 disponíveis por meio dos canais de suporte da Axis.
Para aqueles que não podem atualizar prontamente, as etapas de mitigação incluem restringir a exposição de rede das portas 55752-55754, habilitar regras rígidas de firewall e monitorar o tráfego NTLM anômalo.
Esse incidente ressalta os perigos dos protocolos proprietários em ecossistemas de IoT, onde vulnerabilidades de desserialização e fraquezas de autenticação podem se transformar em amplos comprometimentos de rede, potencialmente prejudicando as infraestruturas de segurança física dependentes das soluções de ponta da Axis.
A Axis elogiou o rápido processo de divulgação da Team82, destacando os esforços colaborativos para aumentar a segurança do produto em meio a crescentes restrições a fornecedores alternativos.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça