Proteger una red, sus dispositivos y los servicios que soporta requiere la participación activa de toda la cadena de suministro del proveedor, así como de la organización del usuario final. Axis proporciona herramientas, documentación y formación para ayudarle a reducir los riesgos y mantener sus productos y servicios de Axis actualizados y protegidos.

Recursos destacados

cybersec axis office

Ciberseguridad de Axis

Descubra cómo Axis respalda las medidas de ciberseguridad que le ayudan a reducir el riesgo de un incidente cibernético.

Women working laptop

Información de seguridad

Lea artículos sobre ciberseguridad en nuestro blog.

hand fingers email icons

Notificaciones de seguridad

Reciba notificaciones sobre vulnerabilidades y otra información relacionada con la seguridad.

women screen man office

Gestión de la vulnerabilidad

Axis sigue las mejores prácticas de la industria para gestionar y responder (con transparencia) a las vulnerabilidades descubiertas.

Boletín de notificaciones de seguridad de Axis

2024-11-26

AXIS OS

Erik de Jong, miembro del programa AXIS OS Bug Bounty, encontró un fallo en AXIS OS:

CVE-2024-8160 (CVSSv3.1: 3.8 Bajo) que afecta a AXIS OS 10.9 - 12.0. La API VAPIX ftptest.cgi no tenía una validación de entrada suficiente que permitiera una posible inyección de comando que permitiera transferir archivos desde/hacia el dispositivo Axis. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios administrador. 

51l3nc3, miembro del programa AXIS OS Bug Bounty, encontró un fallo en AXIS OS:

CVE-2024-8772 (CVSSv3.1: 4.3 Medio) que afecta a AXIS OS 9.80 - 12.0. La API VAPIX managedoverlayimages.cgi era vulnerable a un ataque de condición de carrera que permitía a un atacante bloquear el acceso a la página de configuración de superposición en la interfaz web del dispositivo Axis. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador.

Florent Thiéry ha encontrado un fallo en AXIS OS:

CVE-2024-47257 (CVSSv3.1: 7.5 (Alto) que afecta a AXIS OS 6.50. Algunos dispositivos Axis seleccionados eran vulnerables al manejo de ciertas tramas Ethernet, lo que podía provocar que el dispositivo Axis no estuviera disponible en la red.

Axis ha publicado parches para estas fallas en 12.1 Active Track, LTS 2024 11.11, LTS 2022 10.12 y para CVE-2024-8772 también en LTS 2020 9.80. Para CVE-2024-47257, se proporciona un parche para la versión 6.50 (anteriormente LTS) para productos que aún cuentan con soporte de software AXIS OS.

AXIS Camera Station Pro

Seth Fogie, miembro del programa de recompensas por errores AXIS Camera Station Pro, ha encontrado dos fallos en AXIS Camera Station Pro y AXIS Camera Station 5:

CVE-2024-6831 (CVSSv3.1: 4.4 Medio) que afecta a AXIS Camera Station Pro <6.4 y AXIS Camera Station <5.57.33556. Fue posible editar y/o eliminar vistas sin el permiso necesario gracias a una verificación únicamente del lado del cliente.

CVE-2024-6749 (CVSSv3.1: 6.3 Medio) que afecta a AXIS Camera Station Pro 6.0 – 6.3 y AXIS Camera Station 5.25 – 5.57.27610. La función de informe de incidentes puede exponer credenciales confidenciales en el cliente de Windows AXIS Camera Station. Si el informe de incidentes no se utiliza con las credenciales configuradas, este fallo no se aplica.

Gee-netics, miembro del programa Pro Bug Bounty Program AXIS Camera Station, descubrió que es posible que un usuario no administrador obtenga privilegios del sistema redirigiendo la eliminación de un archivo al reiniciar el servicio.

CVE-2024-6476 (CVSSv3.1: 4.2 Medio) que afecta a AXIS Camera Station Pro <6.4 y AXIS Camera Station <5.57.33556.

Axis ha lanzado parches para estos fallos tanto para AXIS Camera Station Pro como para AXIS Camera Station 5.

2024-09-10

Marinus Pfund, miembro del programa Bug Bounty de AXIS OS, ha encontrado 2 fallos en AXIS OS:
CVE-2024-0067 (CVSSv3.1: 4.3 Medio) que afecta a AXIS OS 8.40 - 11.10. La VAPIX API ledlimit.cgi era vulnerable a ataques de transversalidad de ruta que permitían mostrar nombres de carpetas/archivos en el sistema de archivos local del dispositivo Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Medio) que afecta a AXIS OS 6.50 - 11.11. La VAPIX API alwaysmulti.cgi era vulnerable a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos del dispositivo Axis.

Axis ha publicado parches para estas fallas en las pistas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 y las pistas (antiguas LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software AXIS OS.

51l3nc3, miembro del programa AXIS OS Bug Bounty, ha encontrado 1 falla en AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Medio) que afecta a AXIS OS 6.50 - 11.10. Un parámetro de VAPIX API de ronda de vigilancia permitía el uso de valores arbitrarios que permitían a un atacante bloquear el acceso a la página de configuración de ronda de vigilancia en la interfaz web del dispositivo Axis.

Axis ha publicado parches para este defecto en las pistas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, y las pistas (antiguas LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software para AXIS OS.

Amin Aliakbari, miembro del programa Bug Bounty de AXIS OS, ha encontrado 1 falla en AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Medio) que afecta a AXIS OS 11.11. Un control de acceso roto permitía que cuentas de operador o espectador menos privilegiadas tuvieran más privilegios que los diseñados. El riesgo de explotación es muy bajo, ya que requiere pasos complejos para ejecutarse, incluido el conocimiento de las contraseñas de las cuentas y ataques de ingeniería social para engañar al administrador para que realice configuraciones específicas en cuentas con privilegios de operador y/o espectador.

Axis ha lanzado parches para este defecto en la pista LTS 2024 11.11.

Durante el modelado de amenazas interno de ASDM, Axis encontró 1 falla en AXIS OS:
CVE-2024-7784 (CVSSv3.1: 6.1 Medium) que afecta a los productos Axis ARTPEC-8 que ejecutan AXIS OS 10.9 - 11.11, productos Axis i.MX8 QP que ejecutan AXIS OS 11.11, productos Axis i.MX6 SX, i.MX6 ULL que ejecutan AXIS OS 10.10 - 11.11, productos Axis i.MX8M Mini y i.MX8M Nano UL que ejecutan AXIS OS 11.8 - 11.1. La falla se encontró en la protección contra manipulación de dispositivos (comúnmente conocida como Arranque seguro) en AXIS OS, lo que lo hace vulnerable a un ataque sofisticado para eludir esta protección. Hasta donde Axis sabe, a día de hoy no existen exploits conocidos públicamente y Axis no tiene conocimiento de que esto haya sido explotado.

Axis ha lanzado parches para este defecto en las pistas 12.0 Active, LTS 2024 11.11 y LTS 2022 10.12. Por razones de seguridad, ese parche también aplicará restricciones de retroceso, lo que significa que el producto solo se puede retroceder a la última versión de la pista LTS 2024 11.11 o LTS 2022 10.12, si el producto es compatible con ella. A partir de ese momento, el producto no aceptará otras versiones anteriores o intermedias del sistema operativo AXIS.

2024-06-18

Johan Fagerström, participante del programa AXIS OS Bug Bounty, ha encontrado un error (CVE-2024-0066 - CVSSv3.1: 5.3 Medium) en una función de O3C que puede hacer público tráfico confidencial entre el cliente (dispositivo de Axis) y el servidor (O3C). Si no se utiliza O3C, este error no afecta. 

Axis ha publicado un parche para este error en las pistas 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80 y en las pistas (anteriormente LTS) 8.40 y 6.50, así como en la pista de software 5.51 para productos que aún tienen soporte para el software AXIS OS.

2024-03-19

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, encontró dos fallos en AXIS OS:

CVE-2024-0054 (CVSSv3.1: 6.5 Medio) que afectaban a AXIS OS 6.50 - 11.8. Las API de VAPIX local_list.cgi, create_overlay.cgi y irissetup.cgi eran vulnerables a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos.

CVE-2024-0055 (CVSSv3.1: 6.5 Medio) que afectaba a AXIS OS 10.12 - 11.8. Las API VAPIX mediaclip.cgi y playclip.cgi eran vulnerables a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos.

Axis ha lanzado parches para estos fallos en 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 y el (anteriormente) LTS 8.40 y 6.50 para los productos que todavía tienen soporte de software para AXIS OS.

2024-02-05

Brandon Rothel de QED Secure Solutions ha descubierto que la API VAPIX tcptest.cgi no tenía una validación de entrada suficiente que permitiera una ejecución remota de código posible. Este defecto (CVSSv3.1: 6.3 Media - CVE-2023-5677) solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con privilegios de operador en comparación con las cuentas de servicio con privilegios de administrador. Axis ha lanzado parches para este defecto en la versión de software 5.51 para productos que aún cuentan con soporte de software.

Vintage, miembro del programa AXIS OS Bug Bounty, ha descubierto que la API VAPIX create_overlay.cgi no tenía una validación de entrada suficiente que permitiera una posible ejecución de código remota. Este defecto (CVSSv3.1: 5.4 Media - CVE-2023-5800) solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. 

Axis ha lanzado parches para estos fallos en 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 y las pistas (anteriormente LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software AXIS OS.

2023-11-21

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, encontró tres fallos en AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 10.12 - 11.6. La Axis VAPIX API dynamicoverlay.cgi era vulnerable a un ataque de denegación de servicio que permitía que un atacante bloqueara el acceso a la página de configuración superpuesta en la interfaz web de un dispositivo Axis. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador; sin embargo, el impacto es igual.

CVE-2023-21417 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 8.50 - 11.6. La VAPIX API manageoverlayimage.cgi era vulnerable a ataques transversales de ruta que permitían eliminar archivos o carpetas. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con las cuentas de servicio de operador y se limita a archivos que no pertenecen al sistema, a diferencia de lo que sucede si se tienen privilegios de administrador.

CVE-2023-21418 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 6.50 - 11.6. La VAPIX API irissetup.cgi era vulnerable a ataques transversales de ruta que permitían eliminar archivos. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con las cuentas de servicio de operador y se limita a archivos que no pertenecen al sistema, a diferencia de lo que sucede si se tienen privilegios de administrador.

Axis ha lanzado parches para estos tres fallos en AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 y el (anteriormente) LTS 6.50 para los productos que todavía tienen soporte de software para AXIS OS.

Durante el modelado interno de amenazas de ASDM se descubrió un fallo (CVSSv3.1: 7.6 Alta - CVE-2023-5553) en la protección contra manipulación de dispositivos (lo que se suele denominar arranque seguro) en productos ARTPEC-8 con AXIS OS 10.8 – 11.5. Como consecuencia, un ataque sofisticado puede eludir la protección. Axis ha lanzado versiones parcheadas en AXIS OS 11.7 Active Track y AXIS OS 10.12 LTS track.

2023-10-16

GoSecure en nombre de Genetec Inc. ha encontrado un fallo (CVSSv3.1: 9.1 Crítico - CVE-2023-21413) en AXIS OS 10.5 – 11.5 que permitía la ejecución remota de código durante la instalación de aplicaciones ACAP en el dispositivo Axis. El servicio de manejo de aplicaciones en AXIS OS era vulnerable a la inyección de comandos, lo que permitía a un atacante ejecutar código arbitrario. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6.

NCC Group ha encontrado un fallo (CVSSv3.1: 7.1 Alto - CVE-2023-21414) durante la prueba de penetración interna anual ordenada por Axis Communications. Para AXIS A8207-VE Mk II, AXIS Q3527-LVE y todos los productos ARTPEC-8, la protección contra manipulación de dispositivos (comúnmente conocida como arranque seguro) en AXIS OS 10.11 – 11.5 contiene un fallo que brinda la oportunidad de que un ataque sofisticado evite esta protección. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6. 

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, descubrió que la API VAPIX overlay_del.cgi era vulnerable a ataques transversales de ruta que permiten la eliminación de archivos en AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Media - CVE-2023-21415). Axis ha lanzado versiones parcheadas en 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 y el (antiguo) LTS 6.50 track para productos que aún cuentan con soporte de software para AXIS OS.

2023-08-03

Diego Giubertoni de Nozomi Networks Inc. ha encontrado múltiples fallos (CVSSv3.1: Alto - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) en la aplicación ACAP AXIS License Plate Verifier. Axis ha lanzado una versión parcheada de AXIS License Plate Verifier (2.8.4). Las versiones preinstaladas de AXIS License Plate Verifier para cámaras de kit se actualizan en AXIS OS 10.12 LTS y 11.5 track.

2023-07-25

Knud de Fraktal.fi ha encontrado un fallo en algunos Axis Network Door Controllers y Axis Network Intercoms cuando se comunican a través de OSDP (CVE-2023-21405), destacando que el analizador de mensajes OSDP bloquea el proceso de pacsiod, provocando una indisponibilidad temporal de las funcionalidades de control de puertas. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

Ariel Harush y Roy Hodir de OTORIO han encontrado un fallo en AXIS A1001 al comunicarse a través de OSDP (CVE-2023-21406). Se encontró un desbordamiento del búfer basado en pila en el proceso pacsiod que maneja la comunicación OSDP, lo que permite escribir fuera del búfer asignado. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

2023-05-08

Alexander Pick, miembro del programa AXIS OS Bug Bounty, encontró un fallo en AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) que no sigue las mejores prácticas de desarrollo seguro de Axis. Se utilizó una clave RSA estática para cifrar el código fuente específico de Axis en componentes LUA heredados.

2022-11-29

Declaración de Axis Communications sobre las vulnerabilidades descubiertas del servidor web BOA (CVE-2017-9833 y CVE-2021-33558). Axis ha estado utilizando el servidor web BOA en sus productos heredados desde el firmware 5.65 y versiones anteriores. Sin embargo, estos productos no se ven afectados ya que los componentes de terceros[1] necesarios para explotar las vulnerabilidades no se utilizan en los productos de Axis. Además de eso, se proporciona mayor protección realizando la validación de entrada en las interfaces API. Los productos Axis más nuevos con firmware 5.70 y superior utilizan el servidor web Apache y, por lo tanto, se eliminó el servidor web BOA.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen no se utilizan

2022-05-05

Declaración de Axis Communications sobre la Vulnerabilidad DNS de uClibc descubierta por Nozomi Networks ( CVE-2021-43523,CVE-2022-30295). Axis no ha incorporado el paquete uClibc desde 2010 en los productos, software y servicios de Axis. Hasta la fecha, ningún producto de Axis en venta activa o discontinuado que todavía esté bajo soporte de hardware o software se ve afectado por esta vulnerabilidad, excepto el AXIS P7701 Video Decoder. Actualmente estamos esperando la disponibilidad de un parche ascendente para juzgar si podemos proporcionar una versión de servicio que solucione esta vulnerabilidad.

2022-05-04

Axis reconoce la importancia y el arduo trabajo realizado por investigadores y empresas independientes y, por lo tanto, enumera a los contribuyentes destacados en nuestro nuevo Salón de la fama de la seguridad del producto.

2022-03-30

Se ha presentado una versión actualizada de la Guía de protección de AXIS OS así como una guía de protección completamente nueva para AXIS Camera Station System.

2022-03-16

El equipo de seguridad de Axis ha actualizado la política de gestión de vulnerabilidades para productos, software y servicios con el objetivo de proporcionar un proceso de gestión de vulnerabilidades más detallado y completo. El servicio de notificación de seguridad de Axis se utilizará a partir de ahora para informar periódicamente no solo sobre las vulnerabilidades de Axis sino también sobre componentes de código abierto de terceros, como Apache, OpenSSL y otros utilizados en los productos, software y servicios de Axis.

2022-03-13

Se ha publicado una versión actualizada del Modelo de desarrollo de seguridad de AXIS agregando nuevos detalles relacionados con el escaneo de vulnerabilidades, las pruebas de penetración externa, así como explicaciones de extensión de herramientas para el proceso de modelado de amenazas dentro del desarrollo de software de I+D.

2022-03-09

Actualizar (CVE-2022-23410). Se ha actualizado el aviso de seguridad publicado el 14 de febrero. La solución inicial proporcionada en Axis IP Utility 4.17.0 para resolver CVE-2022-23410 se consideró incompleta; por lo tanto, se lanzó una nueva versión, Axis IP Utility 4.18.0, para solucionar este problema. Este nuevo defecto ha sido descubierto por James Tsz Ko Yeung de Hong Kong.

2022-02-14

Un investigador externo ha encontrado un defecto (CVE-2022-23410) en AXIS IP Utility que permite la ejecución remota de código y la escalada de privilegios locales mediante el secuestro de DLL. La vulnerabilidad ha sido encontrada por SeungYun Lee de la Universidad de Corea en Sejong.

2021-12-16

Declaración de Axis Communications sobre la vulnerabilidad Log4j2 (CVE 2021-44228). La investigación sobre nuestra exposición a la vulnerabilidad Log4j2 está casi completa y hasta la fecha no hemos encontrado ningún sistema vulnerable. Hay más detalles disponibles en la Declaración oficial

2021-10-05

Un equipo de investigación externo ha encontrado varios defectos (CVE-2021-31986CVE-2021-31987CVE-2021-31988) en las funcionalidades utilizadas dentro del sistema de eventos integrado de los dispositivos compatibles con AXIS OS. Todas las vulnerabilidades fueron encontradas por Andrea Palanca de Nozomi Network Inc..

2021-08-23

Un equipo de investigación externo ha encontrado una deficiencia en el manejo de AXIS Device Manager de las credenciales del dispositivo almacenadas en la RAM, lea el Aviso de seguridad de Axis para obtener más información. La vulnerabilidad fue descubierta por Ben Leonard-Lagarde y Freddie Sibley-Calder de Modux Limited.

2020-04-08

Axis Communications ha sido aprobada como autoridad de numeración (CNA) de exposiciones y vulnerabilidades comunes (CVE) para productos Axis, lo que autoriza a nuestra empresa a asignar y publicar ID de CVE a las vulnerabilidades de nuestros productos. Sebastian Hultqvist, director global de productos de Axis Communications, comentó: "Ser reconocido como CNA es un testimonio de nuestro trabajo continuo y subraya la gestión de vulnerabilidades y las mejores prácticas de seguridad de Axis.

2020-07-31

Una auditoría interna de seguridad del software descubrió un fallo en la protección contra la manipulación del dispositivo (conocida como arranque seguro) en AXIS W800 y AXIS S3008. Leer el Aviso de seguridad de Axis para obtener más información.

2020-06-22

Se han publicado las Consideraciones comunes de las herramientas de escaneo de seguridad para ayudar a los clientes a realizar un análisis de riesgos de los resultados de un escaneo de seguridad.

2020-03-19

Una auditoría interna de seguridad del software descubrió un fallo en la protección contra la manipulación del dispositivo (conocida como arranque seguro) en AXIS Q3527-LVE y AXIS A8207-VE MkII. Lea el Aviso de seguridad de Axis para obtener más información.

2019-09-23

Un investigador ha descubierto que los dispositivos ONVIF que exponen WS Discovery (puerto 3207) a Internet son susceptibles de ser explotados para un ataque de denegación de servicio distribuido (DDOS). Lea el Aviso de seguridad de Axis para obtener más información.