La sécurisation d’un réseau, de ses dispositifs et des services qu’il prend en charge demande la participation active de l’ensemble de la supply chain des prestataires, ainsi que de l’organisation des utilisateurs finaux. Axis fournit des outils, de la documentation et des formations pour vous permettre d'atténuer les risques, mettre à jour et protéger vos produits.

Ressources présentées

cybersec axis office

Cybersécurité Axis

Découvrez comment Axis met en œuvre des mesures de cybersécurité pour vous permettre de réduire le risque de cyber-incident.

Women working laptop

Informations sécurisées

Lisez les articles sur la cybersécurité publiés sur notre blog.

hand fingers email icons

Notifications de sécurité

Recevez des notifications sur les vulnérabilités et d’autres informations relatives à la sécurité.

women screen man office

Gestion des vulnérabilités

Axis suit les bonnes pratiques sectorielles pour gérer et répondre, en toute transparence, aux failles de sécurité détectées.

Flux de notification de sécurité Axis

2024-09-10

Marinus Pfund, membre du programme AXIS OS Bug Bounty, a trouvé 2 failles dans AXIS OS :
CVE-2024-0067 (CVSSv3.1 : 4.3 Medium) affectant AXIS OS 8.40 - 11.10. L'API VAPIX ledlimit.cgi était vulnérable aux attaques par parcours de répertoires permettant de répertorier les noms de dossiers/fichiers sur le système de fichiers local du périphérique Axis.
CVE-2024-6509 (CVSSv3.1 : 6.5 Medium) affectant AXIS OS 6.50 - 11.11. L'API VAPIX alwaysmulti.cgi était vulnérable à l'expansion de noms de fichiers, ce qui pouvait conduire à l'épuisement des ressources du périphérique Axis.

Axis a publié des correctifs pour ces failles sur les versions LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 et les versions (anciennement LTS) 8.40 et 6.50 pour les produits toujours sous support logiciel AXIS OS.

51l3nc3, membre du programme AXIS OS Bug Bounty, a trouvé 1 faille dans AXIS OS :
CVE-2024-6173 (CVSSv3.1 : 6.5 Medium) affectant AXIS OS 6.50 - 11.10. Un paramètre d'API Guard Tour VAPIX permettait l'utilisation de valeurs arbitraires permettant à un attaquant de bloquer l'accès à la page de configuration du Guard Tour dans l'interface Web du périphérique Axis.

Axis a publié des correctifs pour cette faille sur les versions LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 et les versions (anciennement LTS) 8.40 et 6.50 pour les produits toujours sous support logiciel AXIS OS.

Amin Aliakbari, membre du programme AXIS OS Bug Bounty, a trouvé 1 faille dans AXIS OS :
CVE-2024-6979 (CVSSv3.1 : 6.8 Medium) affectant AXIS OS 11.11. Un contrôle d'accès brisé permettait à des comptes d'opérateur et/ou d'observateur moins privilégiés d'avoir plus de privilèges que prévu. Le risque d'exploitation est très faible car son exécution nécessite des étapes complexes, notamment la connaissance des mots de passe de comptes et des attaques d'ingénierie sociale visant à inciter l'administrateur à effectuer des configurations spécifiques sur des comptes privilégiés d'opérateur et/ou d'observateur.

Axis a publié des correctifs pour cette faille sur la version LTS 2024 11.11.

Au cours de la modélisation interne des menaces ASDM, Axis a trouvé 1 faille dans AXIS OS :
CVE-2024-7784 (CVSSv3.1 : 6.1 Moyen) affectant les produits Axis ARTPEC-8 exécutant AXIS OS 10.9 - 11.11, les produits Axis i.MX8 QP exécutant AXIS OS 11.11, les produits Axis i.MX6 SX, i.MX6 ULL exécutant AXIS OS 10.10 - 11.11, les produits Axis i.MX8M Mini et i.MX8M Nano UL exécutant AXIS OS 11.8 - 11.1. La faille a été découverte dans la protection contre la falsification de l'appareil (communément appelée Secure Boot) dans AXIS OS, la rendant vulnérable à une attaque sophistiquée visant à contourner cette protection. À la connaissance d'Axis, aucun exploit connu n'existe publiquement à ce jour et Axis n'a pas connaissance que cela ait été exploité.

Axis a publié des correctifs pour cette faille sur les versions 12.0 Active Track, LTS 2024 11.11 et LTS 2022 10.12. Pour des raisons de sécurité, ce correctif imposera également des restrictions de rétrogradation, ce qui signifie que le produit ne pourra être rétrogradé vers la dernière version de la piste LTS 2024 11.11 ou LTS 2022 10.12 que si le produit le prend en charge. Les autres versions plus anciennes ou intermédiaires du système d'exploitation AXIS ne seront plus acceptées par le produit à partir de là.

2024-06-18

Johan Fagerström, membre du programme AXIS OS Bug Bounty, a trouvé une faille (CVE-2024-0066 - CVSSv3.1 : 5.3 Medium) dans une fonctionnalité O3C qui peut exposer un trafic sensible entre le client (périphérique Axis) et le serveur (O3C). Si O3C n’est pas utilisé, cette faille ne s’applique pas. 

Axis a publié un correctif pour cette faille sur les pistes Active Track 11.10, LTS 2022 10.12, LTS 2020 9.80 et les (anciennes LTS) 8.40 et 6.50 ainsi que la piste logicielle 5.51 pour les produits toujours sous support logiciel AXIS OS.

2024-03-19

Sandro Poppi, membre du programme AXIS OS Bug Bounty, a trouvé 2 failles dans AXIS OS :

CVE-2024-0054 (CVSSv3.1 : 6.5 Medium) affectant AXIS OS 6.50 - 11.8. Les API VAPIX local_list.cgi, create_overlay.cgi et irissetup.cgi étaient vulnérables au regroupement de fichiers, ce qui pouvait conduire à une attaque d'épuisement des ressources.

CVE-2024-0055 (CVSSv3.1 : 6.5 Medium) affectant AXIS OS 10.12 - 11.8. Les API VAPIX mediaclip.cgi et playclip.cgi était vulnérable au regroupement de fichiers, ce qui pouvait conduire à une attaque d'épuisement des ressources.

Axis a publié des correctifs pour ces pistes 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 (l'ancienne LTS) 8.40 et 6.50 pour les produits encore sous support logiciel AXIS OS.

2024-02-05

Brandon Rothel de QED Secure Solutions a constaté que l'API VAPIX tcptest.cgi ne disposait pas d'une validation d'entrée suffisante permettant une éventuelle exécution de code à distance. La faille suivante (CVSSv3.1 : 6.3 Medium - CVE-2023-5677) ne pouvait être exploitée qu'après avoir été authentifiée sur un compte de service privilégié par un opérateur ou un administrateur. L'impact de l'exploitation de cette vulnérabilité est moindre avec les privilèges d'opérateur et limité aux fichiers non système par rapport aux comptes de service. Axis a publié des correctifs pour cette faille sur la version logicielle 5.51 pour les produits encore sous support logiciel.

Vintage, membre du programme AXIS OS Bug Bounty, a constaté que l'API VAPIX create_overlay.cgi ne disposait pas d'une validation d'entrée suffisante permettant une éventuelle exécution de code à distance. La faille suivante (CVSSv3.1 : 5.4 Medium - CVE-2023-5800) ne pouvait être exploitée qu'après avoir été authentifiée sur un compte de service privilégié par un opérateur ou un administrateur. 

Axis a publié des correctifs pour ces failles sur les pistes 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 et les pistes (anciennes LTS) 8.40 et 6.50 pour les produits toujours sous support logiciel AXIS OS.

2023-11-21

Sandro Poppi, membre du programme AXIS OS Bug Bounty, a trouvé 3 failles dans AXIS OS : 
CVE-2023-21416(CVSSv3.1 : 7.1 Élevé) affectant AXIS OS 10.12 - 11.6. L'API Axis VAPIX Dynamicoverlay.cgi était vulnérable à une attaque par déni de service permettant à un attaquant de bloquer l'accès à la page de configuration de la superposition dans l'interface Web du périphérique Axis. Cette faille ne peut être exploitée qu'une fois authentifiée sur un compte de service privilégié par un opérateur ou un administrateur, mais l'impact est équivalent.

CVE-2023-21417 (CVSSv3.1 : 7.1 Élevé) affectant AXIS OS 8.50 - 11.6. L'API VAPIX manageoverlayimage.cgi était vulnérable face aux attaques par traversée qui permettaient la suppression de fichiers/dossiers. Cette faille ne pouvait être exploitée qu'après avoir été authentifiée sur un compte de service privilégié par un opérateur ou un administrateur. L'impact de l'exploitation de cette vulnérabilité est moindre avec les comptes de service d'opérateur et limité aux fichiers non système par rapport aux privilèges administrateur. 

CVE-2023-21418 (CVSSv3.1 : 7.1 Élevé) affectant AXIS OS 6.50 - 11.6. L'API VAPIX irissetup.cgi était vulnérable face aux attaques par traversée qui permettaient la suppression de fichiers/dossiers. Cette faille ne pouvait être exploitée qu'après avoir été authentifiée sur un compte de service privilégié par un opérateur ou un administrateur. L'impact de l'exploitation de cette vulnérabilité est moindre avec les comptes de service d'opérateur et limité aux fichiers non système par rapport aux privilèges administrateur. 

Axis a publié des correctifs pour ces 3 failles sur AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 et l'(ancienne) piste LTS 6.50 pour les produits encore sous support logiciel AXIS OS.

Lors de la modélisation interne des menaces ASDM, une faille (CVSSv3.1 : 7.6 Élevé - CVE-2023-5553) a été trouvée dans la protection contre le sabotage des dispositifs (communément appelé Secure Boot) sur les produits ARTPEC-8 exécutant AXIS OS 10.8 – 11.5. Cette faille permet une attaque sophistiquée pour contourner cette protection. Axis a publié des versions corrigées sur les pistes AXIS OS 11.7 Active Track et AXIS OS 10.12 LTS.

2023-10-16

GoSecure pour le compte de Genetec Inc. a détecté une faille (CVSSv3.1 : 9.1 critique -CVE-2023-21413) dans AXIS OS 10.5 – 11.5 qui autorisait l’exécution de code à distance lors de l’installation d'applications ACAP sur le dispositif Axis. Le service de gestion des applications dans AXIS OS était vulnérable à l’injection de commandes permettant à un pirate d’exécuter du code arbitraire. Axis a publié des versions corrigées sur AXIS OS 10.12 LTS et le suivi logiciel 11.6.

NCC Group a détecté une faille (CVSSv3.1 : 7.1 Élevé -CVE-2023-21414) lors du test de pénétration interne annuel commandé par Axis Communications. Pour AXIS A8207-VE Mk II, AXIS Q3527-LVE et tous les produits ARTPEC-8, la protection contre le sabotage des dispositifs (communément appelée Secure Boot) dans AXIS OS 10.11 – 11.5 contient une faille qui laisse se produire une attaque sophistiquée pour contourner cette protection. Axis a publié des versions corrigées sur AXIS OS 10.12 LTS et le suivi logiciel 11.6. 

Sandro Poppi, membre du programme AXIS OS Bug Bounty, a découvert que l’API VAPIX overlay_del.cgi était vulnérable aux attaques par traversée de chemin qui permettent la suppression de fichiers dans AXIS OS 6.50 – 11.5 (CVSSv3.1 : 6.5 moyenne - CVE-2023-21415). Axis a publié des versions corrigées sur Active Track 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 et (l'ancien) suivi LTS 6.50 pour les produits toujours sous support logiciel AXIS OS.

2023-08-03

Diego Giubertoni de Nozomi Networks Inc. a détecté plusieurs failles ( CVSSv3.1 : élevée - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) dans l’application AXIS License Plate Verifier ACAP. Axis a publié une version corrigée de AXIS License Plate Verifier (2.8.4). Les versions préinstallées de AXIS License Plate Verifier pour les caméras en kit sont mises à jour sur AXIS OS 10.12 LTS et le suivi 11.5.

2023-07-25

Knud de Fraktal.fi a détecté une faille dans certains contrôleurs de porte réseau Axis et interphones réseau Axis lors de la communication via OSDP (CVE-2023-21405), soulignant que l’analyseur de messages OSDP plante le processus pacsiod, provoquant une indisponibilité temporaire des fonctionnalités de contrôle de porte. Axis a publié une version corrigée pour les dispositifs concernés qui améliore la résistance de l’analyseur de messages OSDP et corrige la faille détectée.

Ariel Harush et Roy Hodir d’OTORIO ont détecté une faille dans l’AXIS A1001 lors de la communication via OSDP ( CVE-2023-21406). Un dépassement de tampon heap a été détecté dans le processus pacsiod qui gère la communication OSDP permettant d’écrire en dehors du tampon alloué. Axis a publié une version corrigée pour les dispositifs concernés qui améliore la résistance de l’analyseur de messages OSDP et corrige la faille détectée.

2023-05-08

Alexander Pick, membre du programme AXIS OS Bug Bounty, a détecté une faille dans AXIS OS 11.0.X - 11.3.x ( CVE-2023-21404) qui ne respecte pas les bonnes pratiques de développement sécurisé d’Axis. Une clé RSA statique a été utilisée pour chiffrer le code source spécifique à Axis dans les composants LUA existants.

2022-11-29

Déclaration d’Axis Communications relative aux vulnérabilités détectées sur le serveur web BOA (CVE-2017-9833 et CVE-2021-33558). Axis utilise le serveur web BOA dans ses anciens produits depuis le firmware 5.65 et versions antérieures. Cependant, ces produits ne sont pas concernés car les composants tiers requis[1] pour exploiter les vulnérabilités ne sont pas utilisés dans les produits Axis. Par ailleurs, une protection supplémentaire est garantie en réamosa,t une validation des entrées sur les interfaces API. Les produits Axis plus récents dotés du firmware 5.70 et versions ultérieures et qui utilisaient le serveur web Apache et le serveur web BOA ont donc été retirés.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js et /cgi-bin/wapopen ne sont pas utilisés

2022-05-05

Déclaration d’Axis Communications relatives à la Vulnérabilité DNS uClbc découverte par Nozomi Networks (CVE-2021-43523, CVE-2022-30295). Axis n’a pas intégré le package uClibc depuis 2010 dans les produits, logiciels et services Axis. À ce jour, aucun produit Axis en vente ou arrêté et encore sous support matériel ou logiciel n’est concerné par cette vulnérabilité, à l’exception de AXIS P7701 Video Decoder. Nous attendons actuellement la disponibilité d’un correctif en amont pour juger si nous pouvons fournir une version de service qui corrige cette vulnérabilité.

2022-05-04

Axis reconnaît l’importance et les efforts déployés par des chercheurs indépendants et des entreprises. Aussi, nous avons répertoriés tous les contributeurs d'exception dans notre nouveau Product Security Hall of Fame.

2022-03-30

Une version mise à jour du Guide de renforcement d'AXIS OS et un nouveau guide de renforcement pour le système AXIS Camera Station ont été publiés.

2022-03-16

L’équipe de sécurité d’Axis a mis à jour la politique de gestion des vulnérabilités pour les produits, logiciels et services afin d'établir un processus de gestion des failles plus détaillé et exhaustif. Le service de notifications relatives à la sécurité d'Axis sera désormais utilisé pour informer régulièrement non seulement sur les failles Axis, mais également sur les composants open source tiers, notamment Apache et OpenSSL, utilisés dans les produits, logiciels et services Axis.

2022-03-13

Une version mise à jour du modèle de développement de sécurité AXIS a été publié, ajoutant de nouveaux détails concernant l’analyse des vulnérabilités, les tests de pénétration externe et des explications sur les extensions d’outils pour le processus de modélisation des menaces dans le développement de logiciels R&D.

2022-03-09

Mise à jour (CVE-2022-23410). L’avis de sécurité publié le 14 février a été mis à jour. La solution de départ apportée dans Axis IP Utility 4.17.0 pour résoudre CVE-2022-23410 a été jugée incomplète. Aussi, une nouvelle version, Axis IP Utility 4.18.0, a été publiée pour résoudre ce problème. Cette nouvelle faille a été détectée par James Tsz Ko Yeung, à Hong Kong.

2022-02-14

Un chercheur externe a détecté une faille (CVE-2022-23410) dans AXIS IP Utility qui laisse se produire l’exécution de code à distance et l’élévation de privilèges locaux par piratage de DLL. La vulnérabilité a été découverte par SeungYun Lee de l’Université de Corée à Sejong.

2021-12-16

Déclaration d’Axis Communications sur la vulnérabilité Log4j2 (CVE 2021-44228). L’enquête sur notre exposition à Log4j2 est quasiment terminée et nous n’avons détecté aucun système vulnérable à ce jour. Des informations détaillées sont disponibles dans la déclaration officielle

2021-10-05

Une équipe de recherche externe a détecté plusieurs failles ( CVE-2021-31986,CVE-2021-31987,CVE-2021-31988) dans les fonctionnalités utilisées dans le système d’événements intégré des dispositifs compatibles AXIS OS. Toutes les failles ont été détectées par Andrea Palanca de Nozomi Network Inc.

2021-08-23

Une équipe de recherche externe a découvert une lacune dans la gestion par AXIS Device Manager des informations d’identification des dispositifs stockées en RAM. Lire Axis Security Advisory pour plus d’informations. La faille a été détectée par Ben Leonard-Lagarde et Freddie Sibley-Calder de Modux Limited.

2020-04-08

Axis Communications a été approuvée en tant que Common Vulnerability and Exposures (CVE) Numbering Authority (CNA) pour les produits Axis, l'autorisant à attribuer et à publier des identifiants CVE aux failles de sécurité de nos produits. Sebastian Hultqvist, Global Product Manager chez Axis Communications, a commenté : « Le fait d'être une autorité CNA témoigne de nos efforts soutenus et de notre respect des bonnes pratiques de gestion des vulnérabilités et de sécurité.

2020-07-31

Un audit interne de sécurité logicielle a découvert une faille dans la protection contre le sabotage des dispositifs (appelée Secure Boot) dans AXIS W800 et AXIS S3008. Lire Axis Security Advisory pour plus d’informations.

2020-06-22

Publication de remarques courantes relatives aux outils d’analyse de sécurité pour aider les clients à réaliser une analyse des risques sur la base des résultats d’une analyse de sécurité.

2020-03-19

Un audit interne de sécurité logicielle a permis de déceler une faille dans la protection contre le sabotage des dispositifs (appelée Secure Boot) dans AXIS Q3527-LVE et AXIS A8207-VE MkII. Lire Axis Security Advisory pour plus d’informations.

2019-09-23

Un chercheur a découvert que les dispositifs ONVIF exposant WS Discovery (port 3207) à Internet sont susceptibles d’être exploités pour une attaque par déni de service distribué (DDOS). Lire Axis Security Advisory pour plus d’informations.