ネットワークやデバイス、ネットワークがサポートするサービスを安全に保つには、ベンダーサプライチェーン全体と、エンドユーザー組織の積極的な関与が必要です。 Axisは、リスクを軽減し、Axis製品とサービスを最新の状態に保ち、保護する上で役立つツール、ドキュメント、トレーニングを提供しています。
Axisがどのようにサイバーセキュリティ対策をサポートし、サイバーインシデントのリスクを低減しているかをご覧ください。
サイバーセキュリティに関する記事をブログで紹介しています。
脆弱性やその他のセキュリティ関連情報に関する通知を受け取ります。
Axisは、発見された脆弱性を管理し、透明性をもって対応する業界のベストプラクティスに従っています。
AXIS OS Bug Bounty Programのメンバー、Johan Fagerström氏がO3C機能にある欠陥 (CVE-2024-0066 - CVSSv3.1: 5.3中) を発見しました。この欠陥により、クライアント (Axis装置) と (O3C) サーバー間の機密トラフィックが公開される可能性があります。 O3Cを使用していない場合、この欠陥は適用されません。
Axisは、11.10 Active Track、LTS 2022 10.12、LTS 2020 9.80、および (旧LTS) 8.40および6.50トラック、ならびにAXIS OSソフトウェアサポートが継続されている製品の5.51ソフトウェアトラックで、この欠陥に対するパッチをリリースしました。
AXIS OS Bug Bounty Programのメンバー、Sandro Poppi氏はAXIS OSにある2つの欠陥を発見しました。
CVE-2024-0054 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 6.50~11.8。VAPIX APIs local_list.cgi、create_overlay.cgi、およびirissetup.cgiにはファイルグロビングの脆弱性があり、リソース枯渇攻撃につながる可能性があります。
CVE-2024-0055 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 10.12~11.8。VAPIX APIs mediaclip.cgiとplayclip.cgiにはファイルのグロビングに対して脆弱があり、リソース枯渇攻撃につながる可能性があります。
Axisは、11.9 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2020 9.80、(旧LTS) 8.40および6.50トラックで、AXIS OSソフトウェアのサポートが継続されている製品に対して、これらの欠陥に対応するパッチをリリースしました。
QED Secure SolutionsのBrandon Rothel氏により、VAPIX API tcptest.cgiにリモートコード実行の可能性を考慮した十分な入力検証がされていないことが発見されました。 この欠陥 (CVSSv3.1: 6.3 Medium - CVE-2023-5677) は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り悪用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーター権限のサービスアカウントではローインパクトです。 Axisは、5.51ソフトウェアトラックにおいて、ソフトウェアサポート中の製品向けにこの欠陥に対するパッチをリリースしました。
AXIS OS Bug Bounty ProgramのメンバーであるVintageにより、VAPIX API create_overlay.cgiにリモートコード実行の可能性を考慮した十分な入力検証がされていないことが発見されました。 この欠陥 (CVSSv3.1: 5.4 Medium - CVE-2023-5800) は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り悪用される可能性があります。
Axisは、AXIS OSソフトウェアサポート期間中の製品向けに、11.8 Active Track、LTS 2022 10.12、LTS 2020 9.80、(以前のLTS) 8.40 および6.50トラックのこれらの欠陥に対するパッチをリリースしました。
AXIS OS Bug Bounty Programのメンバー、Sandro Poppi氏はAXIS OSに3つの欠陥を発見しました。
CVE-2023-21416 (CVSSv3.1: 7.1 High)、対象はAXIS OS 10.12 - 11.6。 Axis VAPIX API dynamicoverlay.cgiに、Denial-of-Service攻撃に対する脆弱性があり、AxisデバイスのWebインターフェース上でオーバーレイ設定ページへのアクセスを攻撃者がブロックすることが可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性がありますが、影響は同等です。
CVE-2023-21417 (CVSSv3.1: 7.1 High)、対象はAXIS OS 8.50 - 11.6。 VAPIX API manageoverlayimage.cgiに、パストラバーサル攻撃に対する脆弱性があり、ファイル/フォルダーの削除が可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーターのサービスアカウントではローインパクトです。
CVE-2023-21418 (CVSSv3.1: 7.1 High)、対象はAXIS OS 6.50 - 11.6。 The VAPIX API irissetup.cgiに、パストラバーサル攻撃に対する脆弱性があり、ファイル/フォルダーの削除が可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーターのサービスアカウントではローインパクトです。
Axisは、AXIS OS 11.7 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2018 8.40、および現在もAXIS OSソフトウェアがサポートされている製品向けの (旧) LTS 6.50トラックでこの3つの欠陥に対応するパッチをリリースしました。
社内のASDM脅威モデリングで、AXIS OS 10.8 – 11.5を実行するARTPEC-8製品のデバイスの改竄に対する防御 (いわゆるセキュアブート) に欠陥 (CVSSv3.1: 7.6 High - CVE-2023-5553) が見つかりました。この欠陥を悪用した高度な攻撃が保護機能をバイパスする可能性があります。 Axisは、AXIS OS 11.7 Active TrackおよびAXIS OS 10.12 LTS Trackのパッチ適用バージョンをリリースしました。
Genetec Inc.に代わってGoSecureにより、Axis OS 10.5 - 11.5において、Axis装置へのACAPアプリケーションのインストール中にリモートでコードが実行される可能性がある欠陥 (CVSSv3.1: 9.1 Critical - CVE-2023-21413) が発見されました。 Axis OSのアプリケーション処理サービスには、攻撃者が任意のコードを実行できるコマンドインジェクションの脆弱性がありました。 Axisは、AXIS OS 10.12 LTSおよび11.6ソフトウェアトラックにパッチを適用したバージョンをリリースしました。
Axis Communicationsが毎年実施している内部侵入テストにおいて、NCCグループが欠陥 (CVSSv3.1: 7.1 High - CVE-2023-21414) を発見しました。 AXIS A8207-VE Mk II、AXIS Q3527-LVE、およびすべてのARTPEC-8製品において、AXIS OS 10.11 – 11.5の、装置に対するいたずら防止機能 (一般にセキュアブートとして知られています) に欠陥があり、高度な攻撃によりこの保護機能がバイパスされる可能性があります。 Axisは、AXIS OS 10.12 LTSおよび11.6ソフトウェアトラックにパッチを適用したバージョンをリリースしました。
AXIS OS Bug Bounty ProgramのメンバーであるSandro Poppi氏によりは、Axis OS 6.50 - 11.5において、VAPIX API overlay_del.cgiにファイルの削除を可能にするパストラバーサル攻撃に脆弱であることが発見されました (CVSSv3.1: 6.5 Medium - CVE-2023-21415)。 Axisは、11.6 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2018 8.40、および (旧) LTS 6.50トラックで、現在もAXIS OSソフトウェアがサポートされている製品向けにパッチ適用済みのバージョンをリリースしました。
Nozomi Networks Inc.のDiego Giubertoni氏により、Axis License Plate Verifier ACAPアプリケーションに複数の欠陥 (CVSSv3.1: High - CVE-2023-21407、CVE-2023-21408、CVE-2023-21409、CVE-2023-21410、CVE-2023-21411、CVE-2023-21412) が発見されました。 Axisは、AXIS License Plate Verifier (2.8.4) のパッチ適用済みバージョンをリリースしました。 キットカメラ用のAXIS License Plate Verifierのプリインストールバージョンは、AXIS OS 10.12 LTSおよび11.5トラックで更新されます。
Fraktal.fiのKnud氏により、OSDP (CVE-2023-21405) 経由で通信している一部のAxisネットワークドアコントローラーとAxisネットワークインターコムに、OSDPメッセージパーサーによってpacsiodプロセスがクラッシュし、ドア制御機能が一時的に使用できなくなる欠陥が発見されました。 Axisは、影響を受ける装置向けに、OSDPメッセージパーサーの堅牢性を高めて見つかった欠陥を修正する、パッチ適用済みのバージョンをリリースしました。
OTORIOのAriel Harush氏とRoy Hodir氏により、Axis A1001でOSDP (CVE-2023-21406) を介して通信する際の欠陥が発見されました。 OSDP通信を処理するpacsiodプロセスに、割り当てられたバッファの外への書き込みを可能にする、ヒープベースのバッファオーバーフローが見つかりました。 Axisは、影響を受ける装置向けに、OSDPメッセージパーサーの堅牢性を高めて見つかった欠陥を修正する、パッチ適用済みのバージョンをリリースしました。
AXIS OS Bug Bounty ProgramのメンバーであるAlexander Pick氏により、AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) において、Axisの安全な開発のベストプラクティスに従っていない欠陥が発見されました。 静的RSAキーが、レガシーLUAコンポーネントのAxis固有のソースコードを暗号化するために使用されていました。
発見されたBOAウェブサーバーの脆弱性 (CVE-2017-9833とCVE-2021-33558) に関するAxis Communicationsの声明。 Axisは、ファームウェア5.65以前のレガシー製品でBOAウェブサーバーを使用してきました。 しかし、脆弱性を悪用するために必要なサードパーティコンポーネント [1] はAxis製品では使用されていないため、これらの製品は影響を受けません。それに加えて、APIインターフェースで入力検証を実行することで、さらなる保護が提供されます。 ファームウェア5.70以降の新しいAxis製品はApacheウェブサーバーを使用するため、BOAウェブサーバーは削除されました。
[1] backup.html、preview.html、js/log.js、log.html、email.html、online-users.html、config.jsおよび/cgi-bin/wapopenは使用されていません
uClibc DNSの脆弱性 (CVE-2021-43523、CVE-2022-30295) に関するAxis Communicationsの声明。 Axisは2010年以降、Axisの製品、ソフトウェア、サービスにuClibcパッケージを組み込んでいません。 したがって、AXIS P7701 Video Decoderを除き、現在もハードウェアまたはソフトウェアのサポートを受けているAxis製品で、この脆弱性の影響を受けるものはありません。 現在、この脆弱性を修正したサービスリリースを提供できるかどうかを判断するため、アップストリームパッチの提供開始を待っています。
Axisセキュリティチームは、より詳細で包括的な脆弱性管理プロセスを提供することを目的として、製品、ソフトウェア、サービスの脆弱性管理ポリシーを更新しました。 今後、Axisセキュリティ通知サービスは、Axisの脆弱性だけでなく、Axis製品、ソフトウェア、サービスで使用されているApache、OpenSSLなどのサードパーティのオープンソースコンポーネントについても定期的に通知するために使用されます。