概要
ネットワークビデオおよび監視ソリューションの大手プロバイダーであるAxis Communicationsは、同社のAutodesk® Revit®プラグインに重大な脆弱性があったことを確認しました。この脆弱性により、署名付きDLL内にAzure Storage Accountの認証情報が露出していたことが判明しました。この問題は、Trend MicroのZero Day Initiative™ (ZDI) によって2024年7月に発見され、攻撃者がAxisおよびその顧客のクラウド資産にアクセスし、操作できる可能性がありました。
脆弱性の詳細
2024年7月8日、ZDIの研究者は、AXIS Plugin for Autodesk Revitにバンドルされているデジタル署名されたDLL、AzureBlobRestAPI.dllを特定しました。このDLLはAxisのパートナーであるAEC Advanced Engineering Computation ABによって署名されていましたが、その中に「axisfiles」と「axiscontentfiles」という2つのストレージアカウントに対するクリアテキストのAzure Shared Access Signature (SAS) トークンとアクセスキーペアが含まれていました。
DLLのプライベートメソッドに有効な認証情報が埋め込まれていたため、プラグインをインストールしたユーザーであれば誰でもこれらのアカウントを制御でき、保存されているリソースの読み取り、書き込み、変更が可能でした。調査の結果、これらのストレージアカウントはRevitプラグインのMSIインストーラーや、IPカメラやレーダーなどのAxis製品の独自のRFAモデルファイルをホストしていたことが明らかになりました。これにより、攻撃者はインストーラーをダウンロードしたり、建築家やエンジニアがビルディングインフォメーションモデリングワークフローで使用するモデルファイルを改ざんしたりする可能性がありました。
ベンダーの対応とパッチの進化
ZDI-24-1181の勧告を受けて、Axisはプラグインのバージョン25.3.710をリリースし、.NET難読化によって認証情報を隠蔽しました。しかし、de4dotのようなツールを使用するとSASトークンとアクセスキーが容易に復元できたため、ZDI-24-1328およびZDI-24-1329という追加の勧告が出されました。
これに対応し、Axisはバージョン25.3.711をリリースし、ストレージアカウントのアクセスキーを完全に削除し、新しいアカウント用の読み取り専用SASトークンを埋め込みました。これにより権限は縮小されましたが、新しいトークンでも攻撃者が以前のMSIインストーラー(一部には元の、より広範な権限を持つ認証情報が含まれていた)をリストアップし、取得することが可能でした。
最終的な勧告であるZDI-25-858を受けて、Axisは元のストレージアカウントキーを失効させ、2025年3月にバージョン25.3.718を公開しました。このアップデートでは、埋め込み認証情報が排除され、最小特権アクセスが強制され、許可された顧客のみがプラグイン資産とモデルファイルをダウンロードできるようになりました。Axisはまた、脆弱なプラグインの全バージョンをストレージインフラストラクチャから削除し、影響を受けたパートナーに直ちにアップグレードするよう通知しました。
サプライチェーン攻撃とRCEのリスク
認証情報の漏洩だけでなく、ZDIの研究者は、改ざんされたRFAファイルによる潜在的な影響も調査しました。Revitファミリーファイルは3Dモデリングの入力として機能し、これまでもパーサーの脆弱性の影響を受けやすいことが知られています。Trend ZDIは、RevitのRFA処理におけるいくつかの脆弱性を発見し、攻撃者がAxisのストレージアカウントでホストされている正規のモデルファイルを悪意のあるものに置き換えた場合、リモートコード実行(RCE)が可能になることを示しました。このような悪用が成功すれば、悪意のあるインストーラーや改ざんされたRFAファイルが世界中のエンジニアリング企業に配布され、サプライチェーンの侵害につながる可能性がありました。
この事件は、2023年にMicrosoftのPC Managerツールで発生した、露出したSASトークンがWinGetパッケージ、サブドメイン、URL短縮サービスを完全に制御可能にした事例を想起させます。これらの事例は、署名されたバイナリが必ずしもセキュリティを保証するものではなく、顧客向けのインフラストラクチャにおける認証情報の露出が多段階攻撃の足がかりとなり得ることを強調しています。
教訓と推奨事項
Axis Communicationsはバージョン25.3.718で脆弱性を完全に修正しました。しかし、この事例は、サードパーティ製プラグインの継続的なセキュリティレビュー、クラウド認証情報に対する最小特権の原則の厳格な順守、および厳密なファイル形式解析の保護の必要性を浮き彫りにしています。クラウド配信メカニズムとサードパーティ製拡張機能を利用する組織は、信頼性を積極的に検証し、堅牢なシークレット管理を実装し、サプライチェーンの悪用を防ぐために異常を監視する必要があります。