Компания Axis Communications, один из ведущих мировых производителей систем видеонаблюдения, выпустила срочные исправления для четырех уязвимостей в собственной операционной системе Axis OS. Эти проблемы безопасности затронули широкий спектр устройств, используемых как в корпоративном секторе, так и в государственных учреждениях.
Детали уязвимостей
Согласно опубликованным 12 мая 2026 года бюллетеням, все четыре уязвимости получили идентификаторы CVE (общеизвестные идентификаторы уязвимостей) - CVE-2026-0541, CVE-2026-0802, CVE-2026-0804 и CVE-2026-1185. В совокупности они позволяют злоумышленнику выполнить удаленный запуск вредоносного кода, а также повысить свои привилегии в системе до уровня администратора.
Прежде всего стоит отметить, что уязвимости затрагивают устройства с Axis OS версий от 12.0.0 до 12.9.31, а также некоторые версии до 12.10.36 и 12.10.3 в зависимости от конкретной проблемы. При этом компания выпустила обновленные версии для двух линий поддержки - Active Track 12.9.33 и Active Track 12.10.37. Пользователям настоятельно рекомендуется установить патчи в ближайшее время.
Однако опасность этих уязвимостей кроется не только в их количестве, но и в сценариях эксплуатации. Особого внимания заслуживают три из них, обнаруженные исследователем под псевдонимом Mucoze в рамках программы вознаграждения за найденные уязвимости Axis OS Bug Bounty Program. Все три проблемы связаны с компонентом ACAP (платформа для разработки сторонних приложений, работающих на камерах Axis).
В частности, уязвимость CVE-2026-0541 возникает из-за некорректной проверки входных данных во время установки ACAP-приложений. Это позволяет таким программам получить расширенные привилегии. Важно понимать, что эксплуатация возможна только при выполнении двух условий: устройство должно быть настроено на установку неподписанных ACAP-приложений, и злоумышленник должен убедить жертву установить вредоносное приложение. Тем не менее, сама возможность повышения привилегий открывает путь к дальнейшим атакам.
Еще одна уязвимость, CVE-2026-0802, связана с недостаточной фильтрацией вводимых данных в конфигурационном файле ACAP. Это открывает возможность для внедрения команд, что в итоге также ведет к повышению привилегий. Сценарий атаки идентичен предыдущему - требуется установка вредоносного приложения.
Примечательно, что CVE-2026-0804 имеет схожую природу, но использует другой вектор - атаку обхода каталогов. Злоумышленник может манипулировать путями к файлам, получая доступ к ресурсам, которые должны быть защищены. Уровень опасности этой уязвимости оценен в 6,7 балла по шкале CVSSv3.1 (стандартная система оценки критичности уязвимостей).
Четвертая проблема, CVE-2026-1185, была выявлена другим исследователем - Cookiejack15. Эта уязвимость отличается от остальных. Для ее использования злоумышленнику необходим физический или сетевой доступ к устройству через протокол SSH (протокол защищенной командной строки для удаленного управления). Исследователь обнаружил, что один из конфигурационных файлов в локальной файловой системе недостаточно проверяет вводимые данные, что позволяет выполнить код и снова получить повышенные привилегии.
В результате каждой из этих атак злоумышленник получает контроль над камерой. Это не просто угроза конфиденциальности видеопотоков. Взломанное устройство становится точкой входа в корпоративную сеть организации. Камеры наблюдения все чаще используются не только для охраны периметра, но и как часть более широких систем безопасности, работающих с данными в реальном времени.
Стоит признать, что компания Axis оперативно отреагировала на угрозы. На данный момент, по заявлениям разработчиков, в открытом доступе не обнаружено готовых эксплойтных программ, и неизвестно о случаях реального использования этих уязвимостей. Однако это не повод откладывать установку обновлений. Промедление в таких вопросах создает окно возможностей для киберпреступников.
Специалистам по безопасности организаций, использующих оборудование Axis, необходимо предпринять несколько шагов. Прежде всего следует провести инвентаризацию устройств и определить, какие из них работают на уязвимых версиях Axis OS. Затем нужно как можно быстрее установить исправления, переведя систему на версии Active Track 12.9.32, 12.9.33, 12.10.4 или 12.10.37 в зависимости от конкретных версий и уязвимостей.
Кроме того, временной мерой защиты может стать отключение возможности установки неподписанных ACAP-приложений. Для устройств, где это невозможно по функциональным требованиям, следует усилить контроль за тем, какие приложения устанавливаются. Также стоит ограничить доступ по SSH - этот протокол не должен быть открыт для внешних сетей. В идеале его следует использовать только через защищенные VPN-соединения.
Подводя итог, можно сказать, что данная ситуация в очередной раз демонстрирует ключевую проблему современной кибербезопасности. Даже надежное "железо" уязвимо, если в его программном обеспечении есть ошибки. Производители оборудования все чаще внедряют операционные системы и поддерживают установку стороннего кода. Это расширяет функционал, но одновременно расширяет и поверхность атаки. Поэтому регулярное обновление прошивок остается основным правилом для ИТ-специалистов, отвечающих за безопасность сетевого оборудования.
Ссылки
- https://www.axis.com/dam/public/69/df/8d/cve-2026-1185pdf-en-US-530733.pdf
- https://www.axis.com/dam/public/51/64/ea/cve-2026-0804pdf-en-US-530732.pdf
- https://www.axis.com/dam/public/67/b8/75/cve-2026-0802pdf-en-US-530731.pdf
- https://www.axis.com/dam/public/fa/50/c7/cve-2026-0541pdf-en-US-530730.pdf
