Risorse per la sicurezza informatica

Marinus Pfund, membro del programma AXIS OS Bug Bounty, ha riscontrato 2 difetti in AXIS OS:
CVE-2024-0067 (CVSSv3.1: 4.3 Medio) che interessa AXIS OS 8.40 - 11.10. L'API VAPIX ledlimit.cgi era vulnerabile agli attacchi di path traversal che consentivano di elencare i nomi delle cartelle/file sul file system locale del dispositivo Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Medio) che interessa AXIS OS 6.50 - 11.11. L'API VAPIX alwaysmulti.cgi era vulnerabile al file globbing, che poteva portare all'esaurimento delle risorse del dispositivo Axis.

Axis ha rilasciato patch per questi difetti nelle versioni LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e nelle versioni (ex LTS) 8.40 e 6.50 per i prodotti ancora supportati dal software AXIS OS.

51l3nc3, membro del programma AXIS OS Bug Bounty, ha trovato 1 difetto in AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Medio) che interessa AXIS OS 6.50 - 11.10. Il parametro dell'API VAPIX per il giro di ronda consentiva l'uso di valori arbitrari, permettendo a un aggressore di bloccare l'accesso alla pagina di configurazione del giro di ronda nell'interfaccia Web del dispositivo Axis.

Axis ha rilasciato patch per questo difetto nelle versioni LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e nelle versioni (ex LTS) 8.40 e 6.50 per i prodotti ancora supportati dal software AXIS OS.

Amin Aliakbari, membro del programma AXIS OS Bug Bounty, ha trovato 1 difetto in AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Medio) che interessa AXIS OS 11.11. Un controllo degli accessi vulnerabile ha consentito agli account operatore e/o visualizzatore di avere più privilegi di quelli progettati. Il rischio di sfruttamento è molto basso, in quanto richiede l'esecuzione di passaggi complessi, tra cui la conoscenza delle password degli account e attacchi di ingegneria sociale per indurre l'amministratore a eseguire configurazioni specifiche sugli account con privilegi di operatore e/o visualizzatore.

Axis ha rilasciato delle patch per questa falla nella traccia LTS 2024 11.11.

Durante la modellazione delle minacce ASDM interne, Axis ha trovato 1 difetto in AXIS OS:
CVE-2024-7784 (CVSSv3.1: 6.1 Medio) che interessa i dispositivi Axis ARTPEC-8 che eseguono AXIS OS 10.9 - 11.11, i dispositivi Axis i.MX8 QP che eseguono AXIS OS 11.11, i dispositivi Axis i.MX6 SX, i.MX6 ULL che eseguono AXIS OS 10.10 - 11.11, i dispositivi Axis i.MX8M Mini e i.MX8M Nano UL che eseguono AXIS OS 11.8 - 11.1. La falla è stata individuata nella protezione contro la manomissione del dispositivo (comunemente nota come Secure Boot) in AXIS OS, rendendolo vulnerabile a un attacco sofisticato che tenta di aggirare questa protezione. A quanto risulta ad Axis, ad oggi non esiste alcun exploit pubblico noto e Axis non è a conoscenza del fatto che questo sia stato sfruttato.

Axis ha rilasciato patch per questo difetto nelle versioni Active Track 12.0, LTS 2024 11.11 e LTS 2022 10.12. Per motivi di sicurezza, tale patch applicherà anche delle restrizioni al downgrade, il che significa che il prodotto potrà essere sottoposto a downgrade all'ultima versione della traccia LTS 2024 11.11 o LTS 2022 10.12 solo se il prodotto lo supporta. Da quel momento in poi, altre versioni precedenti o intermedie di AXIS OS non saranno più accettate dal prodotto.

Johan Fagerström, membro del programma AXIS OS Bug Bounty, ha riscontrato un difetto (CVE-2024-0066 - CVSSv3.1: 5.3 Medium) in una funzionalità O3C che potrebbe esporre traffico sensibile tra il client (dispositivo Axis) e il server (O3C). Se O3C non viene utilizzato questo difetto non viene riscontrato. 

Axis ha rilasciato una patch per questo difetto su 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80 e sulle versioni 8.40 e 6.50 (LTS precedente), nonché sulla versione software 5.51 per i prodotti ancora con supporto software AXIS OS.

Sandro Poppi, membro dell'AXIS OS Bug Bounty Program, ha riscontrato 2 falle in AXIS OS:

CVE-2024-0054 (CVSSv3.1: 6.5 Medium) che influiscono su AXIS OS 6.50 - 11.8. Le API VAPIX local_list.cgi, create_overlay.cgi e irissetup.cgi erano vulnerabili al globbing dei file che poteva portare a un attacco di esaurimento delle risorse

CVE-2024-0055 (CVSSv3.1: 6.5 Medium) che influiscono su AXIS OS 10.12 - 11.8. Le API VAPIX mediaclip.cgi e playclip.cgi erano vulnerabile al globbing dei file che poteva portare a un attacco di esaurimento delle risorse.

Axis ha rilasciato patch per queste 11.9 falle su Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e la (precedente LTS) 8.40 e 6.50 per i prodotti ancora dotati di supporto software AXIS OS.

Brandon Rothel di QED Secure Solutions ha scoperto che l'API VAPIX tcptest.cgi non aveva una convalida dell'input sufficiente per consentire una possibile esecuzione di codice remoto. Questo difetto (CVSSv3.1: 6.3 Medium - CVE-2023-5677) può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio con privilegi di operatore rispetto agli account di servizio con privilegi di amministratore. Axis ha rilasciato patch per questo difetto sulla versione software 5.51 per i prodotti ancora con supporto software.

Vintage, membro del programma AXIS OS Bug Bounty, ha scoperto che l'API VAPIX create_overlay.cgi non aveva una convalida dell'input sufficiente per consentire una possibile esecuzione di codice remoto. Questo difetto (CVSSv3.1: 5.4 Medium - CVE-2023-5800) può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. 

Axis ha rilasciato patch per questi difetti su Active Track 11.8, LTS 2022 10.12, LTS 2020 9.80 e sulle tracce (ex LTS) 8.40 e 6.50 per i prodotti ancora supportati dal software del sistema operativo AXIS.

Sandro Poppi, membro dell'AXIS OS Bug Bounty Program, ha riscontrato 3 falle in AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 10.12 - 11.6. L'API VAPIX Axis dynamicoverlay.cgi era vulnerabile a un attacco Denial-of-Service, consentendo a un aggressore di bloccare l'accesso alla pagina di configurazione sovrapposizione nell'interfaccia web del dispositivo Axis. Questa falla può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore, tuttavia l'impatto è uguale.

CVE-2023-21417 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 8.50 - 11.6. L'API VAPIX manageoverlayimage.cgi era vulnerabile ad attacchi di path traversal che consentono l'eliminazione di file/cartelle. Questa falla può essere sfruttata solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio operatore ed è limitato ai file non di sistema rispetto a quanto accade con gli account con privilegi di amministratore. 

CVE-2023-21418 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 6.50 - 11.6. L'API VAPIX irissetup.cgi era vulnerabile ad attacchi di path traversal che consentono l'eliminazione di file. Questa falla può essere sfruttata solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio operatore ed è limitato ai file non di sistema rispetto a quanto accade con gli account con privilegi di amministratore. 

Axis ha rilasciato patch per queste 3 falle su AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e la (precedente) LTS 6.50 track per i prodotti ancora dotati di supporto software AXIS OS.

Durante la modellazione delle minacce ASDM interna è stata trovata una falla (CVSSv3.1: 7.6 Alto - CVE-2023-5553) nella protezione dalla manomissione del dispositivo (comunemente nota come avvio sicuro) sui prodotti ARTPEC-8 che eseguono AXIS OS 10.8 – 11.5 che offre l'opportunità a un attacco sofisticato di aggirare questa protezione. Axis ha rilasciato versioni con patch sull'AXIS OS 11.7 Active Track e AXIS OS 10.12 LTS track.

GoSecure per conto di Genetec Inc. ha riscontrato un difetto (CVSSv3.1: 9.1 Critico - CVE-2023-21413) in SO AXIS 10.5 – 11.5 che consentiva l'esecuzione di codice remoto durante l'installazione delle applicazioni ACAP sul dispositivo Axis. Il servizio di gestione delle applicazioni nel sistema operativo AXIS era vulnerabile all'inserimento di comandi e ciò consentiva a un utente malintenzionato di eseguire codice arbitrario. Axis ha rilasciato versioni con una patch su AXIS OS 10.12 LTS e sulla traccia software 11.6.

NCC Group ha riscontrato un difetto (CVSSv3.1: 7.1 Alto - CVE-2023-21414) durante l'annuale Penetration Test interno ordinato da Axis Communications. Per AXIS A8207-VE Mk II, AXIS Q3527-LVE e tutti i dispositivi ARTPEC-8, la protezione contro la manomissione del dispositivo (comunemente nota come Secure Boot) in AXIS OS 10.11 – 11.5 contiene un difetto che offre l'opportunità a un attacco sofisticato di aggirare questa protezione. Axis ha rilasciato versioni con una patch su AXIS OS 10.12 LTS e sulla traccia software 11.6. 

Sandro Poppi, membro del programma AXIS OS Bug Bounty, ha scoperto che l'API VAPIX overlay_del.cgi era vulnerabile agli attacchi di path traversal che consentono l'eliminazione di file in AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Medio - CVE-2023-21415). Axis ha rilasciato versioni con patch su 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e la (precedente) LTS 6.50 track per i prodotti ancora supportati dal software del sistema operativo AXIS.

Diego Giubertoni di Nozomi Networks Inc. ha riscontrato molteplici difetti (CVSSv3.1: Alto - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) nell'applicazione ACAP AXIS License Plate Verifier. Axis ha rilasciato una versione dotata di patch di AXIS License Plate Verifier (2.8.4). Le versioni preinstallate di AXIS License Plate Verifier per le telecamere del kit vengono aggiornate sulla traccia AXIS OS 10.12 LTS e 11.5.

Knud di Fraktal.fi ha riscontrato un difetto in alcuni controller per porte di rete Axis e citofoni di rete Axis durante la comunicazione tramite OSDP ( CVe-2023-21405), evidenziando che il parser dei messaggi OSDP blocca il processo pacsiod, causando una temporanea indisponibilità delle funzionalità di controllo delle porte. Axis ha rilasciato una versione con patch per i dispositivi interessati che aumenta la robustezza del parser dei messaggi OSDP e corregge il difetto evidenziato.

Ariel Harush e Roy Hodir di OTORIO hanno riscontrato un difetto in AXIS A1001 durante la comunicazione tramite OSDP (CVE-2023-21406). È stato rilevato un overflow del buffer basato su heap nel processo pacsiod che gestisce la comunicazione OSDP consentendo di scrivere all'esterno del buffer allocato. Axis ha rilasciato una versione con patch per i dispositivi interessati che aumenta la robustezza del parser dei messaggi OSDP e corregge il difetto evidenziato.

Alexander Pick, membro del programma AXIS OS Bug Bounty, ha riscontrato un difetto in AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) che non segue le migliori pratiche di sviluppo sicuro di Axis. Una chiave RSA statica è stata utilizzata per crittografare il codice sorgente specifico di Axis nei componenti LUA legacy.

Dichiarazione di Axis Communications sulle vulnerabilità scoperte del server web BOA (CVE-2017-9833 e CVE-2021-33558). Axis utilizza il server web BOA nei suoi dispositivi legacy dal firmware 5.65 e versioni precedenti. Tuttavia, questi dispositivi non sono interessati poiché i componenti di terze parti necessari[1] per sfruttare le vulnerabilità non vengono utilizzati nei dispositivi Axis. Inoltre, viene fornita ulteriore protezione con la convalida dell'input sulle interfacce API. I dispositivi Axis più recenti con firmware 5.70 e versioni successive utilizzano il server Web Apache e pertanto il server Web BOA è stato rimosso.

[1] backup.html, anteprima.html, js/log.js, log.html, email.html, online-users.html, config.js e /cgi-bin/wapopen non vengono utilizzati

Dichiarazione di Axis Communications sulla Vulnerabilità DNS uClibc scoperta da Nozomi Networks ( CVe-2021-43523,CVe-2022-30295). Axis non ha incorporato il pacchetto uClibc dal 2010 nei dispositivi, software e servizi Axis. Ad oggi, nessun dispositivo Axis in vendita o fuori produzione che sia ancora coperto da supporto hardware o software è quindi interessato da questa vulnerabilità, ad eccezione di AXIS P7701 Video Decoder. Stiamo attualmente aspettando la disponibilità di una patch upstream per valutare se possiamo fornire una versione di servizio che corregga questa vulnerabilità.

Axis riconosce l'importanza e il duro lavoro svolto da ricercatori e aziende indipendenti e pertanto elenca i contributori eccezionali nel nostro nuovo articolo Hall of Fame della sicurezza dei prodotti.

Una versione aggiornata di AXIS OS Hardening Guide ed è stata rilasciata una nuova guida alla protezione avanzata per AXIS Camera Station System.

Il team di sicurezza Axis ha aggiornato la politica di gestione delle vulnerabilità per dispositivi, software e servizi con l’obiettivo di fornire un processo di gestione delle vulnerabilità più dettagliato e completo. Axis Security Notification Service verrà utilizzato d'ora in poi per informare regolarmente non solo sulle vulnerabilità Axis ma anche su componenti open source di terze parti come Apache, OpenSSL e altri utilizzati nei dispositivi, software e servizi Axis.