Nur durch die aktive Beteiligung sämtlicher Anbieter innerhalb der Supply Chain sowie der Endnutzerorganisation lassen sich Netzwerk, Geräte und unterstützte Dienste absichern. Axis bietet Tools, Dokumentation und Schulungen, mit deren Hilfe Sie Risiken mindern und Ihre Axis Produkte sowie Dienste auf dem neuesten Stand und geschützt halten können.

Empfohlene Ressourcen

cybersec axis office

Axis Cybersicherheit

Erfahren Sie, wie Axis Cybersicherheitsmaßnahmen unterstützt, die zur Verringerung des Risikos eines Cybervorfalls beitragen.

Women working laptop

Secure Insights

Lesen Sie in unserem Blogartikel mehr zum Thema Cybersicherheit.

hand fingers email icons

Sicherheitsbenachrichtigungen

Lassen Sie sich Benachrichtigungen bei Schwachstellen und andere sicherheitsrelevante Informationen schicken.

women screen man office

Schwachstellenmanagement

Entdeckte Schwachstellen verwaltet und beantwortet Axis – auf transparente Weise – unter Einhaltung bewährter Verfahren der Branche.

Benachrichtigungsfeed von Axis zum Thema Sicherheit

2024-02-05

Brandon Rothel von QED Secure Solutions hat herausgefunden, dass die VAPIX-API tcptest.cgi nicht über eine ausreichende Eingabevalidierung verfügt, sodass per Fernzugriff ein Code ausgeführt werden kann. Diese Schwachstelle (CVSSv3.1: 6.3 Medium – CVE-2023-5677) kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Das Ausnutzen dieser Schwachstelle hat bei einem Zugriff von einem Dienstkonto mit Betreiberrechten geringere Auswirkungen als bei einem Dienstkonto mit Administratorrechten. Axis hat für Produkte, für die noch Softwaresupport besteht, im Software-Track 5.51 Patches für diese Schwachstelle veröffentlicht.

Vintage, Mitglied des AXIS OS Bug Bounty Program, hat festgestellt, dass die VAPIX-API create_overlay.cgi nicht über eine ausreichende Eingabevalidierung verfügt, sodass per Fernzugriff ein Code ausgeführt werden kann. Diese Schwachstelle (CVSSv3.1: 5.4 Medium – CVE-2023-5800) kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. 

Axis hat über den 11.8 Active Track sowie über die Tracks LTS 2022 10.12, LTS 2020 9.80 und die (ehemaligen) Tracks LTS 8.40 und 6.50 Patches für Produkte veröffentlicht, für die noch der AXIS OS-Softwaresupport besteht.

2023-11-21

Sandro Poppi, Mitglied des AXIS OS Bug Bounty Program, hat drei Schwachstellen in AXIS OS gefunden: 
CVE-2023-21416 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 10.12 - 11.6. Die Axis VAPIX-API „dynamicoverlay.cgi“ war anfällig für einen Denial-of-Service-Angriff, bei dem ein Angreifer den Zugriff auf die Konfigurationsseite des Overlay auf der Weboberfläche des Axis Geräts blockieren konnte. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden, wobei die Auswirkungen allerdings gleich sind.

CVE-2023-21417 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 8.50 - 11.6. Die VAPIX-API „manageoverlayimage.cgi” war anfällig für Path-Traversal-Angriffe, bei dem Dateien/Ordnern gelöscht werden können. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Die Ausnutzung dieser Schwachstelle hat bei einem Zugriff mit Betreiberdienstkonten im Vergleich zu einem mit Administratorrechten geringere Auswirkungen und ist auf Nicht-Systemdateien beschränkt. 

CVE-2023-21418 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 6.50 - 11.6. Die VAPIX-API „irissetup.cgi” war anfällig für Path-Traversal-Angriffe, bei dem Dateien gelöscht werden können. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Die Ausnutzung dieser Schwachstelle hat bei einem Zugriff mit Betreiberdienstkonten im Vergleich zu einem mit Administratorrechten geringere Auswirkungen und ist auf Nicht-Systemdateien beschränkt. 

Axis hat für diese drei Fehler Patches auf dem AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 und dem (ehemaligen) LTS 6.50 Track für Produkte veröffentlicht, die noch von der AXIS OS-Software unterstützt werden.

 

Bei der internen ASDM-Bedrohungsmodellierung wurde ein Fehler (CVSSv3.1: 7.6 Hoch – CVE-2023-5553) im Schutz vor Gerätemanipulation (allgemein bekannt als Secure Boot) auf ARTPEC-8-Produkten mit AXIS OS 10.8 – 11.5 gefunden, wodurch sich eine Möglichkeit für einen raffinierten Angriff bietet, diesen Schutz zu umgehen. Axis hat gepatchte Versionen auf dem AXIS OS 11.7 Active Track und dem AXIS OS 10.12 LTS Track veröffentlicht.

2023-10-16

GoSecure hat im Auftrag von Genetec Inc. einen Fehler gefunden (CVSSv3.1: 9.1 Kritisch – CVE-2023-21413) in AXIS OS 10.5 – 11.5, wodurch während der Installation von ACAP-Anwendungen auf dem Axis Gerät per Fernzugriff ein Code ausgeführt werden konnte. Der Verwaltungsdienst der Anwendung in AXIS OS war anfällig für Befehlsinjektionen, wodurch ein Angreifer einen beliebigen Code ausführen konnte. Axis hat gepatchte Versionen für AXIS OS 10.12 LTS und den Software-Track 11.6 veröffentlicht.

Die NCC Group hat einen Fehler gefunden (CVSSv3.1: 7.1 Hoch – CVE-2023-21414) während des jährlichen internen von Axis Communications angeordneten Penetrationstests. Bei AXIS A8207-VE Mk II, AXIS Q3527-LVE und allen ARTPEC-8-Produkten enthält der Schutz vor Gerätemanipulation (allgemein bekannt als Secure Boot) in AXIS OS 10.11 – 11.5 eine Schwachstelle, wodurch bei einem raffinierten Angriff dieser Schutz umgangen werden kann. Axis hat gepatchte Versionen für AXIS OS 10.12 LTS und den Software-Track 11.6 veröffentlicht. 

Sandro Poppi, Mitglied des AXIS OS Bug Bounty Program, hat herausgefunden, dass die VAPIX-API overlay_del.cgi anfällig für Path-Traversal-Angriffe war, wodurch in AXIS OS 6.50 – 11.5 Dateien gelöscht werden konnten (CVSSv3.1: 6.5 Mittel – CVE-2023-21415). Axis hat gepatchte Versionen für Active Track 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 und den (ehemaligen) LTS 6.50 Track für Produkte veröffentlicht, die noch von der Software AXIS OS unterstützt werden.

2023-08-03

Diego Giubertoni von Nozomi Networks Inc. hat mehrere Schwachstellen gefunden (CVSSv3.1: Hoch – CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) in der ACAP-Anwendung AXIS License Plate Verifier. Axis hat eine gepatchte Version von AXIS License Plate Verifier (2.8.4) veröffentlicht. Vorinstallierte Versionen von AXIS License Plate Verifier für im Set erhältliche Kameras werden auf dem Track AXIS OS 10.12 LTS und 11.5 aktualisiert.

2023-07-25

Knud von Fraktal.fi hat einen Fehler in einigen Axis Network Door Controllern und Axis Network Intercoms bei der Kommunikation über OSDP gefunden (CVE-2023-21405), was darauf hinweist, dass der OSDP-Nachrichtenparser den Pacsiod-Prozess zum Absturz bringt, was zu einer vorübergehenden Nichtverfügbarkeit der Türsteuerungsfunktionen führt. Axis hat eine gepatchte Version für betroffene Geräte veröffentlicht, die die Robustheit des OSDP-Nachrichtenparsers erhöht und den hervorgehobenen Fehler behebt.

Ariel Harush und Roy Hodir von OTORIO haben einen Fehler im AXIS A1001 bei der Kommunikation über OSDP gefunden (CVE-2023-21406). Im Pacsiod-Prozess, der die OSDP-Kommunikation verarbeitet, wurde ein Heap-basierter Pufferüberlauf gefunden, wodurch außerhalb des zugewiesenen Puffers geschrieben werden konnte. Axis hat eine gepatchte Version für betroffene Geräte veröffentlicht, die die Robustheit des OSDP-Nachrichtenparsers erhöht und den hervorgehobenen Fehler behebt.

2023-05-08

Alexander Pick, Mitglied des AXIS OS Bug Bounty Program, hat eine Schwachstelle in AXIS OS 11.0.X – 11.3.x gefunden (CVE-2023-21404), die nicht dem bewährten Verfahren für sichere Entwicklung von Axis folgt. Ein statischer RSA-Schlüssel wurde verwendet, um Axis spezifischen Quellcode in älteren LUA-Komponenten zu verschlüsseln.

2022-11-29

Stellungnahme von Axis Communications zu den entdeckten Schwachstellen beim BOA-Webserver (CVE-2017-9833 und CVE-2021-33558). Axis verwendet den BOA-Webserver in seinen älteren Produkten ab Firmware 5.65 und niedriger. Diese Produkte sind jedoch nicht betroffen, da die zur Ausnutzung der Schwachstellen erforderlichen Komponenten von Drittanbietern[1] in Axis Produkten darin nicht verwendet werden. Darüber hinaus wird durch die Eingabevalidierung auf API-Schnittstellen weiterer Schutz geboten. Neuere Axis Produkte mit Firmware 5.70 und höher nutzen den Apache-Webserver, und der BOA-Webserver wurde daher entfernt.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen werden nicht verwendet

2022-05-05

Stellungnahem von Axis Communications zur von Nozomi Networks entdeckte uClibc-DNS-Schwachstelle (CVE-2021-43523CVE-2022-30295). Axis integriert das uClibc-Paket seit 2010 nicht mehr in Axis Produkte, Software und Dienste. Daher ist bis heute kein aktiv verkauftes oder eingestelltes Axis Produkt, für das noch Hardware- oder Softwaresupport besteht, von dieser Sicherheitslücke betroffen, mit Ausnahme des AXIS P7701 Video Decoder. Derzeit warten wir auf die Verfügbarkeit eines Upstream-Patches, um beurteilen zu können, ob wir ein Servicerelease zur Schließung dieser Schwachstelle bereitstellen können.

2022-05-04

Axis erkennt die Bedeutung und die harte Arbeit unabhängiger Forscher sowie Unternehmen an und führt daher im neuen Beitrag herausragende Mitwirkende in der neuen Hall of Fame für Produktsicherheit auf.

2022-03-30

Eine aktualisierte Version der Anleitung zur Härtung von AXIS OS sowie eine völlig neue Anleitung zur Härtung des AXIS Camera Station Systems wurde veröffentlicht.

2022-03-16

Mit der Veröffentlichung der aktualisierten Richtlinie zum Schwachstellenmanagement für Produkte, Software und Dienste möchte das Axis Sicherheitsteam einen detaillierteren und umfassenderen Prozess zum Schwachstellenmanagement bereitstellen. Der Axis Security Notification Service dient von nun an nicht nur der regelmäßigen Weitergabe von Informationen zu Schwachstellen von Axis, sondern auch von Open-Source-Komponenten von Drittanbietern wie Apache, OpenSSL und andere, die in Produkten, Software und Diensten von Axis verwendet werden.

2022-03-13

Eine aktualisierte Version des AXIS Security Development Model wurde veröffentlicht und enthält neue Details zum Schwachstellenscanning, externen Penetrationstests sowie Erläuterungen zu Toolerweiterungen für den Bedrohungsmodellierungsprozess in der F&E-Softwareentwicklung.

2022-03-09

Update (CVE-2022-23410). Der am 14. Februar veröffentlichte Sicherheitshinweis wurde aktualisiert. Die ursprüngliche Lösung von Axis IP Utility 4.17.0 zur Behebung von CVE-2022-23410 wurde als unvollständig erachtet. Daher wurde zur Behebung dieses Problems eine neue Version, Axis IP Utility 4.18.0, veröffentlicht. Diese neue Schwachstelle wurde von James Tsz Ko Yeung aus Hongkong entdeckt.

2022-02-14

Ein externer Forscher hat eine Schwachstelle gefunden (CVE-2022-23410) in AXIS IP Utility, wodurch Codeausführung und die Eskalation lokaler Berechtigungen per Fernzugriff durch DLL-Hijacking ermöglicht wurde. Die Schwachstelle wurde von SeungYun Lee von der Korea University in Sejong entdeckt.

2021-12-16

Stellungnahme von Axis Communications zur Sicherheitslücke Log4j2 (CVE 2021-44228). Die Untersuchung der Gefährdung durch die Schwachstelle Log4j2 ist fast abgeschlossen, und wir haben bisher keine anfälligen Systeme gefunden. Weitere Einzelheiten dazu finden Sie in der offiziellen Stellungnahme.  

2021-10-05

Ein externes Forschungsteam hat mehrere Schwachstellen (CVE-2021-31986CVE-2021-31987CVE-2021-31988) in Funktionalitäten gefunden, die im integrierten Ereignissystem von AXIS OS-fähigen Geräten verwendet werden. Alle Schwachstellen wurden von Andrea Palanca von Nozomi Network Inc gefunden.

2021-08-23

Ein externes Forschungsteam hat einen Mangel bei der Handhabung der im RAM gespeicherten Zugangsdaten des Geräts durch AXIS Device Manager festgestellt. Weitere Informationen dazu finden Sie im Sicherheitshinweis von Axis. Die Schwachstelle wurde von Ben Leonard-Lagarde und Freddie Sibley-Calder von Modux Limited entdeckt.

2020-04-08

Axis Communications wurde als Common Vulnerability and Exposures (CVE) Numbering Authority (CNA) für Axis Produkte zugelassen, wodurch unser Unternehmen ermächtigt ist, Schwachstellen in unseren Produkten CVE-IDs zuzuweisen und zu veröffentlichen. Sebastian Hultqvist, Global Product Manager bei Axis Communications, kommentierte dazu: „Die Anerkennung als CNA ist ein Beweis für unseren unermüdlichen Einsatz und hebt die bewährten Verfahren von Axis für Schwachstellenmanagement und Sicherheit hervor.” Lesen Sie hier die vollständige Pressemitteilung.

2020-07-31

Bei einem internen Audit zur Softwaresicherheit wurde ein Fehler im Schutz vor Gerätemanipulation (bekannt als Secure Boot) in AXIS W800 und AXIS S3008 entdeckt. Weitere Informationen dazu finden Sie im Sicherheitshinweis von Axis.

2020-06-22

Veröffentlichte Häufige Bemerkungen von Tools zum Sicherheitsscanning zur Unterstützung von Kunden bei der Erstellung einer Risikoanalyse der Ergebnisse eines Sicherheitsscans.

2020-03-19

Bei einem internen Audit zur Softwaresicherheit wurde ein Fehler im Schutz vor Gerätemanipulation (bekannt als Secure Boot) in AXIS Q3527-LVE and AXIS A8207-VE MkII entdeckt. Weitere Informationen dazu finden Sie im Sicherheitshinweis von Axis

2019-09-23

Ein Forscher hat herausgefunden, dass ONVIF-Geräte, die WS Discovery (Port 3207) dem Internet zugänglich machen, sich leicht für einen Distributed Denial-Of-Service (DDOS)-Angriff ausnutzen lassen können. Weitere Informationen dazu finden Sie im Sicherheitshinweis von Axis.