מצלמת IP של Axis. IPCam
על פי א ייעוץ ביטחוני פורסם על ידי Axis Communications תחת מזהה ACV-128401, התגלו 7 נקודות תורפה ברשת המצלמות של Axis המאפשרות ביצוע פיקוד מרחוק. לפגיעות הוקצו תוויות CVE; הם: CVE-2018-10658 , CVE-2018-10659 , CVE-2018-10660 , CVE-2018-10661 , CVE-2018-10662 , CVE-2018-10663 , ו CVE-2018-10664 . CVE-2018-10658 מעניק את עצמו לבעיה בשחיתות זיכרון במספר דגמים של מצלמות ה- IP של Axis הגורמת לשלילת תגובת קריסת שירות שמקורה בקוד באובייקט המשותף libdbus-send.so. CVE-2018-10659 מטפל בבעיה נוספת בשחיתות זיכרון הגורמת להתרסקות DoS על ידי שליחת פקודה מעוצבת שמזכירה את הוראות ARM הלא מוגדרות של UND. CVE-2018-10660 מתאר פגיעות בהזרקת פקודות פגז. CVE-2018-10661 תיאר עקיפה של פגיעות בקרת גישה. CVE-2018-10662 מתאר פגיעות ממשק חסרת ביטחון חשופה. CVE-2018-10663 מתאר בעיה שגויה בחישוב גודל במערכת. לבסוף, CVE-2018-10664 מתאר בעיית שחיתות כללית בזיכרון בתהליך httpd של מספר דגמים של מצלמות ה- IP של Axis.
הפגיעות לא נותחו על ידי MITER CVE עדיין ועדיין ממתינים CVSS 3.0 ציונים, אך Axis מדווח כי כאשר הוא מנוצל בשילוב, הסיכון הנשקף הוא קריטי. על פי הערכת הסיכון בדו'ח שפורסם, על התוקף להשיג גישה לרשת למכשיר כדי לנצל את הפגיעות, אך הוא אינו זקוק לאישורים כלשהם בכדי לקבל גישה זו. לפי ההערכה, מכשירים נמצאים בסיכון פרופורציונלי לאופן שבו הם חשופים. מכשירים הפונים לאינטרנט שנחשפים דרך פורט פורט-פורוורד נמצאים בסיכון גבוה למצב שבו מכשירים ברשת מקומית מוגנת נמצאים בסיכון נמוך יחסית לניצול.
Axis סיפקה רשימה מלאה של מוצרים מושפעים ושחרר גם א עדכון תיקון עבור הקושחה אליה מוזמנים המשתמשים לשדרג על מנת למנוע ניצול של נקודות תורפה אלה. בנוסף לכך, מומלץ גם למשתמשים לא לחשוף את המכשירים שלהם להגדרות העברת יציאות באינטרנט ומומלץ להשתמש ב AXIS Companion יישום עבור Windows, Android ו- iOS המספק גישה בטוחה לצילומים מרחוק. טבלת IP פנימית באמצעות יישום סינון IP מוצעת גם כדי למתן את הסיכון לפגיעויות עתידיות באופן מונע.
