Recursos de ciberseguridad

Sandro Poppi, member of the AXIS OS Bug Bounty Program, has found 3 flaws in AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 High) affecting AXIS OS 10.12 - 11.6. The Axis VAPIX API dynamicoverlay.cgi was vulnerable to a Denial-of-Service attack allowing for an attacker to block access to the overlay configuration page in the web interface of the Axis device. This flaw can only be exploited after authenticating with an operator- or administrator-privileged service account however the impact is equal.

CVE-2023-21417 (CVSSv3.1: 7.1 High) affecting AXIS OS 8.50 - 11.6. The VAPIX API manageoverlayimage.cgi was vulnerable to path traversal attacks that allows for file/folder deletion. This flaw can only be exploited after authenticating with an operator- or administrator-privileged service account. The impact of exploiting this vulnerability is lower with operator service accounts and limited to non-system files compared to administrator-privileges. 

CVE-2023-21418 (CVSSv3.1: 7.1 High) affecting AXIS OS 6.50 - 11.6. The VAPIX API irissetup.cgi was vulnerable to path traversal attacks that allows for file deletion. This flaw can only be exploited after authenticating with an operator- or administrator-privileged service account. The impact of exploiting this vulnerability is lower with operator service accounts and limited to non-system files compared to administrator-privileges. 

Axis has released patches for these 3 flaws on the AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 and the (former) LTS 6.50 track for products still under AXIS OS software support.

During internal ASDM threat-modelling a flaw (CVSSv3.1: 7.6 High - CVE-2023-5553) was found in the protection for device tampering (commonly known as Secure Boot) on ARTPEC-8 products running AXIS OS 10.8 – 11.5 which provides an opportunity for a sophisticated attack to bypass this protection. Axis has released patched versions on the AXIS OS 11.7 Active Track and AXIS OS 10.12 LTS track.

GoSecure en nombre de Genetec Inc. ha encontrado un fallo (CVSSv3.1: 9.1 Crítico - CVE-2023-21413) en AXIS OS 10.5 - 11.5 que permitía la ejecución remota de código durante la instalación de aplicaciones ACAP en el dispositivo Axis. El servicio de manejo de aplicaciones en AXIS OS era vulnerable a la inyección de comandos, lo que permitía a un atacante ejecutar código arbitrario. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6.

NCC Group ha encontrado un fallo (CVSSv3.1: 7.1 Alto - CVE-2023-21414) durante la prueba de penetración interna anual ordenada por Axis Communications. Para AXIS A8207-VE Mk II, AXIS Q3527-LVE y todos los productos ARTPEC-8, la protección contra manipulación de dispositivos (comúnmente conocida como arranque seguro) en AXIS OS 10.11 – 11.5 contiene un fallo que brinda la oportunidad de que un ataque sofisticado evite esta protección. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6. 

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, descubrió que la API VAPIX overlay_del.cgi era vulnerable a ataques transversales de ruta que permiten la eliminación de archivos en AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Media - CVE-2023-21415). Axis ha lanzado versiones parcheadas en 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 y el (antiguo) LTS 6.50 track para productos que aún cuentan con soporte de software para AXIS OS.

Diego Giubertoni de Nozomi Networks Inc. ha encontrado múltiples fallos (CVSSv3.1: Alto - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) en la aplicación ACAP AXIS License Plate Verifier. Axis ha lanzado una versión parcheada de AXIS License Plate Verifier (2.8.4). Las versiones preinstaladas de AXIS License Plate Verifier para cámaras de kit se actualizan en AXIS OS 10.12 LTS y 11.5 track.

Knud de Fraktal.fi ha encontrado un fallo en algunos Axis Network Door Controllers y Axis Network Intercoms cuando se comunican a través de OSDP (CVE-2023-21405), destacando que el analizador de mensajes OSDP bloquea el proceso de pacsiod, provocando una indisponibilidad temporal de las funcionalidades de control de puertas. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

Ariel Harush y Roy Hodir de OTORIO han encontrado un fallo en AXIS A1001 al comunicarse a través de OSDP (CVE-2023-21406). Se encontró un desbordamiento del búfer basado en pila en el proceso pacsiod que maneja la comunicación OSDP, lo que permite escribir fuera del búfer asignado. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

Alexander Pick, miembro del programa AXIS OS Bug Bounty, encontró un fallo en AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) que no sigue las mejores prácticas de desarrollo seguro de Axis. Se utilizó una clave RSA estática para cifrar el código fuente específico de Axis en componentes LUA heredados.

Declaración de Axis Communications sobre las vulnerabilidades descubiertas del servidor web BOA (CVE-2017-9833 y CVE-2021-33558). Axis ha estado utilizando el servidor web BOA en sus productos heredados desde el firmware 5.65 y versiones anteriores. Sin embargo, estos productos no se ven afectados ya que los componentes de terceros[1] necesarios para explotar las vulnerabilidades no se utilizan en los productos de Axis. Además de eso, se proporciona mayor protección realizando la validación de entrada en las interfaces API. Los productos Axis más nuevos con firmware 5.70 y superior utilizan el servidor web Apache y, por lo tanto, se eliminó el servidor web BOA.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen no se utilizan

Declaración de Axis Communications sobre la Vulnerabilidad DNS de uClibc descubierta por Nozomi Networks ( CVE-2021-43523,CVE-2022-30295). Axis no ha incorporado el paquete uClibc desde 2010 en los productos, software y servicios de Axis. Hasta la fecha, ningún producto de Axis en venta activa o discontinuado que todavía esté bajo soporte de hardware o software se ve afectado por esta vulnerabilidad, excepto el AXIS P7701 Video Decoder. Actualmente estamos esperando la disponibilidad de un parche ascendente para juzgar si podemos proporcionar una versión de servicio que solucione esta vulnerabilidad.

Axis reconoce la importancia y el arduo trabajo realizado por investigadores y empresas independientes y, por lo tanto, enumera a los contribuyentes destacados en nuestro nuevo Salón de la fama de la seguridad del producto.

Se ha presentado una versión actualizada de la Guía de protección de AXIS OS así como una guía de protección completamente nueva para AXIS Camera Station System.

El equipo de seguridad de Axis ha actualizado la política de gestión de vulnerabilidades para productos, software y servicios con el objetivo de proporcionar un proceso de gestión de vulnerabilidades más detallado y completo. El servicio de notificación de seguridad de Axis se utilizará a partir de ahora para informar periódicamente no solo sobre las vulnerabilidades de Axis sino también sobre componentes de código abierto de terceros, como Apache, OpenSSL y otros utilizados en los productos, software y servicios de Axis.