サイバーニュース.jp

世界のサイバーなニュースを配信

Axis Communicationsの脆弱性によりAzureストレージ認証情報が漏洩

カテゴリ:

, , , , , , , , ,

はじめに

ネットワークビデオおよび監視ソリューションの大手プロバイダーであるAxis Communicationsは、同社のAutodesk® Revit®プラグインに重大な脆弱性があったことを確認しました。この脆弱性により、Azureストレージアカウントの認証情報が署名済みDLL内に露出していました。この問題は、Trend MicroのZero Day Initiative™ (ZDI)によって2024年7月に発見され、攻撃者がAxisおよびその顧客のクラウド資産にアクセスし、操作できる可能性がありました。

脆弱性の詳細

2024年7月8日、ZDIの研究者は、AXIS Plugin for Autodesk Revitにバンドルされているデジタル署名付きDLL「AzureBlobRestAPI.dll」を特定しました。このDLLは、AxisのパートナーであるAEC Advanced Engineering Computation ABによって署名されていましたが、「axisfiles」と「axiscontentfiles」という2つのストレージアカウントに対するクリアテキストのAzure Shared Access Signature (SAS)トークンとアクセスキーペアを含んでいました。

DLLのプライベートメソッドに有効な認証情報が埋め込まれていたため、プラグインをインストールしたユーザーであれば誰でも、これらのアカウントを完全に制御(保存されたリソースの読み取り、書き込み、変更を含む)することができました。調査の結果、両ストレージアカウントがRevitプラグインのMSIインストーラーと、IPカメラやレーダーなどのAxis製品の独自のRFAモデルファイルをホストしていることが判明しました。

これらのインストーラーとRFAファイルは露出したストレージアカウントを介して配布されていたため、攻撃者はインストーラーをダウンロードしたり、建築家やエンジニアがビルディングインフォメーションモデリングのワークフローで使用するモデルファイルを改ざんしたりすることが可能でした。

ベンダーの対応とパッチの進化

ZDI-24-1181の勧告を受けて、Axisはプラグインのバージョン25.3.710をリリースし、.NET難読化によって認証情報を隠蔽しました。しかし、de4dotのようなツールを使用するとSASトークンとアクセスキーは容易に復元できたため、追加の勧告(ZDI-24-1328およびZDI-24-1329)につながりました。

これに対応し、Axisはバージョン25.3.711を発行し、ストレージアカウントのアクセスキーを完全に削除し、新しいアカウントの読み取り専用SASトークンを埋め込みました。これにより権限は削減されましたが、新しいトークンでも攻撃者が以前のMSIインストーラー(一部には元のより広範な権限を持つ認証情報が含まれていた)をリストアップし、取得することが可能でした。

最終的な勧告であるZDI-25-858により、Axisは元のストレージアカウントキーを失効させ、2025年3月にバージョン25.3.718を公開しました。このアップデートでは、埋め込み認証情報が排除され、最小権限アクセスが強制され、許可された顧客のみがプラグイン資産とモデルファイルをダウンロードできるようになりました。Axisはまた、脆弱なプラグインバージョンをストレージインフラからすべて削除し、影響を受けたパートナーに直ちにアップグレードするよう通知しました。

サプライチェーンとRCEのリスク

認証情報の漏洩だけでなく、ZDIの研究者は改ざんされたRFAファイルによる潜在的な影響も調査しました。Revitファミリーファイルは3Dモデリングの入力として機能し、歴史的にパーサーの脆弱性の影響を受けやすいことが知られています。Trend ZDIは、RevitのRFA処理におけるいくつかの脆弱性を発見しました。これにより、攻撃者が正規のモデルファイルをAxisのストレージアカウントでホストされている悪意のあるものに置き換えた場合、リモートコード実行(RCE)が可能になる可能性がありました。

攻撃が成功した場合、悪意のあるインストーラーや改ざんされたRFAファイルが世界中のエンジニアリング企業に配布され、サプライチェーンの侵害につながる可能性がありました。この事件は、2023年にMicrosoftのPC ManagerツールでSASトークンが露出したことでWinGetパッケージ、サブドメイン、URL短縮サービスが完全に制御された事例と類似しています。どちらの事例も、署名されたバイナリが必ずしもセキュリティを保証しないこと、そして顧客向けインフラにおける認証情報の露出が多段階攻撃の足がかりとなることを強調しています。

教訓と対策

Axis Communicationsはバージョン25.3.718で脆弱性を完全に修正しました。しかし、この事例は、サードパーティ製プラグインの継続的なセキュリティレビュークラウド認証情報に対する最小権限の原則の厳格な順守、および厳格なファイル形式解析の保護の必要性を浮き彫りにしています。

クラウド配信メカニズムやサードパーティ製拡張機能を利用する組織は、信頼性を積極的に検証し、堅牢なシークレット管理を実装し、異常を監視してサプライチェーンの悪用を防ぐ必要があります。

元記事: https://gbhackers.com/axis-communications/

投稿をさらに読み込む