La protezione di una rete, dei suoi dispositivi e dei servizi che supporta richiede la partecipazione attiva dell'intera catena di fornitura del fornitore, nonché dell'organizzazione dell'utente finale. Axis fornisce strumenti, documentazione e formazione per aiutarti a mitigare i rischi e mantenere aggiornati e protetti i tuoi prodotti e servizi Axis.

Risorse in primo piano

cybersec axis office

Axis cybersecurity

Scopri come Axis supporta le misure di sicurezza informatica che ti aiutano a ridurre il rischio di incidenti informatici.

Women working laptop

Secure insights

Leggi articoli sulla sicurezza informatica sul nostro blog.

hand fingers email icons

Notifiche di sicurezza

Ricevi notifiche sulle vulnerabilità e altre informazioni relative alla sicurezza.

women screen man office

Gestione delle vulnerabilità

Axis segue le migliori pratiche del settore nella gestione e nella risposta, con trasparenza, alle vulnerabilità scoperte.

Axis security notification feed

2024-02-05

Brandon Rothel di QED Secure Solutions ha scoperto che l'API VAPIX tcptest.cgi non aveva una convalida dell'input sufficiente per consentire una possibile esecuzione di codice remoto. Questo difetto (CVSSv3.1: 6.3 Medium - CVE-2023-5677) può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio con privilegi di operatore rispetto agli account di servizio con privilegi di amministratore. Axis ha rilasciato patch per questo difetto sulla versione software 5.51 per i prodotti ancora con supporto software.

Vintage, membro del programma AXIS OS Bug Bounty, ha scoperto che l'API VAPIX create_overlay.cgi non aveva una convalida dell'input sufficiente per consentire una possibile esecuzione di codice remoto. Questo difetto (CVSSv3.1: 5.4 Medium - CVE-2023-5800) può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. 

Axis ha rilasciato patch per questi difetti su Active Track 11.8, LTS 2022 10.12, LTS 2020 9.80 e sulle tracce (ex LTS) 8.40 e 6.50 per i prodotti ancora supportati dal software del sistema operativo AXIS.

2023-11-21

Sandro Poppi, membro dell'AXIS OS Bug Bounty Program, ha riscontrato 3 falle in AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 10.12 - 11.6. L'API VAPIX Axis dynamicoverlay.cgi era vulnerabile a un attacco Denial-of-Service, consentendo a un aggressore di bloccare l'accesso alla pagina di configurazione sovrapposizione nell'interfaccia web del dispositivo Axis. Questa falla può essere sfruttato solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore, tuttavia l'impatto è uguale.

CVE-2023-21417 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 8.50 - 11.6. L'API VAPIX manageoverlayimage.cgi era vulnerabile ad attacchi di path traversal che consentono l'eliminazione di file/cartelle. Questa falla può essere sfruttata solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio operatore ed è limitato ai file non di sistema rispetto a quanto accade con gli account con privilegi di amministratore. 

CVE-2023-21418 (CVSSv3.1: 7.1 Alto) che riguarda AXIS OS 6.50 - 11.6. L'API VAPIX irissetup.cgi era vulnerabile ad attacchi di path traversal che consentono l'eliminazione di file. Questa falla può essere sfruttata solo dopo l'autenticazione con un account di servizio con privilegi di operatore o amministratore. L'impatto dello sfruttamento di questa vulnerabilità è inferiore con gli account di servizio operatore ed è limitato ai file non di sistema rispetto a quanto accade con gli account con privilegi di amministratore. 

Axis ha rilasciato patch per queste 3 falle su AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e la (precedente) LTS 6.50 track per i prodotti ancora dotati di supporto software AXIS OS.

 

Durante la modellazione delle minacce ASDM interna è stata trovata una falla (CVSSv3.1: 7.6 Alto - CVE-2023-5553) nella protezione dalla manomissione del dispositivo (comunemente nota come avvio sicuro) sui prodotti ARTPEC-8 che eseguono AXIS OS 10.8 – 11.5 che offre l'opportunità a un attacco sofisticato di aggirare questa protezione. Axis ha rilasciato versioni con patch sull'AXIS OS 11.7 Active Track e AXIS OS 10.12 LTS track.

2023-10-16

GoSecure per conto di Genetec Inc. ha riscontrato un difetto (CVSSv3.1: 9.1 Critico - CVE-2023-21413) in SO AXIS 10.5 – 11.5 che consentiva l'esecuzione di codice remoto durante l'installazione delle applicazioni ACAP sul dispositivo Axis. Il servizio di gestione delle applicazioni nel sistema operativo AXIS era vulnerabile all'inserimento di comandi e ciò consentiva a un utente malintenzionato di eseguire codice arbitrario. Axis ha rilasciato versioni con una patch su AXIS OS 10.12 LTS e sulla traccia software 11.6.

NCC Group ha riscontrato un difetto (CVSSv3.1: 7.1 Alto - CVE-2023-21414) durante l'annuale Penetration Test interno ordinato da Axis Communications. Per AXIS A8207-VE Mk II, AXIS Q3527-LVE e tutti i dispositivi ARTPEC-8, la protezione contro la manomissione del dispositivo (comunemente nota come Secure Boot) in AXIS OS 10.11 – 11.5 contiene un difetto che offre l'opportunità a un attacco sofisticato di aggirare questa protezione. Axis ha rilasciato versioni con una patch su AXIS OS 10.12 LTS e sulla traccia software 11.6. 

Sandro Poppi, membro del programma AXIS OS Bug Bounty, ha scoperto che l'API VAPIX overlay_del.cgi era vulnerabile agli attacchi di path traversal che consentono l'eliminazione di file in AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Medio - CVE-2023-21415). Axis ha rilasciato versioni con patch su 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e la (precedente) LTS 6.50 track per i prodotti ancora supportati dal software del sistema operativo AXIS.

2023-08-03

Diego Giubertoni di Nozomi Networks Inc. ha riscontrato molteplici difetti (CVSSv3.1: Alto - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) nell'applicazione ACAP AXIS License Plate Verifier. Axis ha rilasciato una versione dotata di patch di AXIS License Plate Verifier (2.8.4). Le versioni preinstallate di AXIS License Plate Verifier per le telecamere del kit vengono aggiornate sulla traccia AXIS OS 10.12 LTS e 11.5.

2023-07-25

Knud di Fraktal.fi ha riscontrato un difetto in alcuni controller per porte di rete Axis e citofoni di rete Axis durante la comunicazione tramite OSDP ( CVe-2023-21405), evidenziando che il parser dei messaggi OSDP blocca il processo pacsiod, causando una temporanea indisponibilità delle funzionalità di controllo delle porte. Axis ha rilasciato una versione con patch per i dispositivi interessati che aumenta la robustezza del parser dei messaggi OSDP e corregge il difetto evidenziato.

Ariel Harush e Roy Hodir di OTORIO hanno riscontrato un difetto in AXIS A1001 durante la comunicazione tramite OSDP (CVE-2023-21406). È stato rilevato un overflow del buffer basato su heap nel processo pacsiod che gestisce la comunicazione OSDP consentendo di scrivere all'esterno del buffer allocato. Axis ha rilasciato una versione con patch per i dispositivi interessati che aumenta la robustezza del parser dei messaggi OSDP e corregge il difetto evidenziato.

2023-05-08

Alexander Pick, membro del programma AXIS OS Bug Bounty, ha riscontrato un difetto in AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) che non segue le migliori pratiche di sviluppo sicuro di Axis. Una chiave RSA statica è stata utilizzata per crittografare il codice sorgente specifico di Axis nei componenti LUA legacy.

2022-11-29

Dichiarazione di Axis Communications sulle vulnerabilità scoperte del server web BOA (CVE-2017-9833 e CVE-2021-33558). Axis utilizza il server web BOA nei suoi dispositivi legacy dal firmware 5.65 e versioni precedenti. Tuttavia, questi dispositivi non sono interessati poiché i componenti di terze parti necessari[1] per sfruttare le vulnerabilità non vengono utilizzati nei dispositivi Axis. Inoltre, viene fornita ulteriore protezione con la convalida dell'input sulle interfacce API. I dispositivi Axis più recenti con firmware 5.70 e versioni successive utilizzano il server Web Apache e pertanto il server Web BOA è stato rimosso.

[1] backup.html, anteprima.html, js/log.js, log.html, email.html, online-users.html, config.js e /cgi-bin/wapopen non vengono utilizzati

2022-05-05

Dichiarazione di Axis Communications sulla Vulnerabilità DNS uClibc scoperta da Nozomi Networks ( CVe-2021-43523,CVe-2022-30295). Axis non ha incorporato il pacchetto uClibc dal 2010 nei dispositivi, software e servizi Axis. Ad oggi, nessun dispositivo Axis in vendita o fuori produzione che sia ancora coperto da supporto hardware o software è quindi interessato da questa vulnerabilità, ad eccezione di AXIS P7701 Video Decoder. Stiamo attualmente aspettando la disponibilità di una patch upstream per valutare se possiamo fornire una versione di servizio che corregga questa vulnerabilità.

2022-05-04

Axis riconosce l'importanza e il duro lavoro svolto da ricercatori e aziende indipendenti e pertanto elenca i contributori eccezionali nel nostro nuovo articolo Hall of Fame della sicurezza dei prodotti.

2022-03-30

Una versione aggiornata di AXIS OS Hardening Guide ed è stata rilasciata una nuova guida alla protezione avanzata per AXIS Camera Station System.

2022-03-16

Il team di sicurezza Axis ha aggiornato la politica di gestione delle vulnerabilità per dispositivi, software e servizi con l’obiettivo di fornire un processo di gestione delle vulnerabilità più dettagliato e completo. Axis Security Notification Service verrà utilizzato d'ora in poi per informare regolarmente non solo sulle vulnerabilità Axis ma anche su componenti open source di terze parti come Apache, OpenSSL e altri utilizzati nei dispositivi, software e servizi Axis.

2022-03-13

È stata rilasciata una versione aggiornata di AXIS Security Development Model aggiungendo nuovi dettagli riguardanti Vulnerability Scanning, External Penetration Testing e spiegazioni sull'estensione dello strumento per il processo di modellazione delle minacce nell'ambito dello sviluppo di software di ricerca e sviluppo.

2022-03-09

Aggiornamento (CVE-2022-23410). L'avviso di sicurezza pubblicato il 14 febbraio è stato aggiornato. La soluzione iniziale fornita in Axis IP Utility 4.17.0 per risolvere CVE-2022-23410 è stata ritenuta incompleta, pertanto è stata rilasciata una nuova versione, Axis IP Utility 4.18.0, per risolvere questo problema. Questo nuovo difetto è stato scoperto da James Tsz Ko Yeung di Hong Kong.

2022-02-14

Un ricercatore esterno ha riscontrato un difetto (CVE-2022-23410) in AXIS IP Utility che consente l'esecuzione di codice remoto e l'escalation dei privilegi locali tramite il dirottamento della DLL. La vulnerabilità è stata rilevata da SeungYun Lee della Korea University di Sejong.

2021-12-16

Dichiarazione di Axis Communications sulla vulnerabilità Log4j2 (CVE 2021-44228). L'indagine sulla nostra esposizione alla vulnerabilità Log4j2 è quasi completa e fino ad oggi non abbiamo trovato alcun sistema vulnerabile. Ulteriori dettagli sono disponibili nella dichiarazione ufficiale.  

2021-10-05

Un gruppo di ricerca esterno ha riscontrato diversi difetti (CVE-2021-31986,CVE-2021-31987,CVE-2021-31988) nelle funzionalità utilizzate all'interno del sistema di eventi integrato dei dispositivi compatibili con il sistema operativo AXIS. Tutte le vulnerabilità sono state rilevate da Andrea Palanca di Nozomi Network Inc.

2021-08-23

Un team di ricerca esterno ha riscontrato un difetto nella gestione da parte di AXIS Device Manager delle credenziali del dispositivo archiviate nella RAM, leggere Axis Security Advisory per maggiori informazioni. La vulnerabilità è stata scoperta da Ben Leonard-Lagarde e Freddie Sibley-Calder di Modux Limited.

2020-04-08

Axis Communications è stata approvata come Common Vulnerability and Exposures (CVE) Numbering Authority (CNA) per i prodotti Axis. La nostra azienda è quindi autorizzata ad assegnare e pubblicare ID CVE alle vulnerabilità nei nostri prodotti. Sebastian Hultqvist, Global Product Manager di Axis Communications, ha commentato: "Essere riconosciuti come CNA è una testimonianza del nostro lavoro continuo e sottolinea le migliori pratiche di gestione delle vulnerabilità e di sicurezza di Axis. Leggi il comunicato stampa completo qui.

2020-07-31

Un controllo interno sulla sicurezza del software ha rilevato un difetto nella protezione dalla manomissione del dispositivo (noto come Secure Boot) in AXIS W800 e AXIS S3008. Leggi Axis Security Advisory per maggiori informazioni.

2020-06-22

Osservazioni comuni dagli strumenti di scansione di sicurezza pubblicate per assistere i clienti ad effettuare un'analisi dei rischi dei risultati di una scansione di sicurezza.

2020-03-19

Un controllo interno sulla sicurezza del software ha rilevato un difetto nella protezione dalla manomissione del dispositivo (noto come Secure Boot) in AXIS Q3527-LVE e AXIS A8207-VE MkII. Leggi Axis Security Advisory per maggiori informazioni

2019-09-23

Un ricercatore ha scoperto che i dispositivi ONVIF che espongono WS Discovery (porta 3207) a Internet sono suscettibili di essere sfruttati per un attacco DDOS (Distributed Denial-Of-Service). Leggere Axis Security Advisory per maggiori informazioni.