네트워크, 해당 장치 및 지원되는 서비스를 보호하려면 전체 공급업체 공급망은 물론 최종 사용자 조직의 적극적인 참여도 필요합니다. Axis는 위험을 완화하고, Axis 제품 및 서비스를 최신 상태로 유지하고 보호하도록 지원하는 도구, 문서 및 교육을 제공합니다.

주요 리소스

cybersec axis office

Axis 사이버 보안

Axis가 사이버 사고의 위험을 줄이는 데 도움이 되는 사이버 보안 조치를 지원하는 방식을 알아보시기 바랍니다.

Women working laptop

Secure insights

Axis 블로그에서 사이버 보안에 대한 기사를 읽어보십시오.

hand fingers email icons

보안 알림

취약성 및 기타 보안 관련 정보에 대한 알림을 받으십시오.

women screen man office

취약성 관리

Axis는 발견한 취약성을 투명하게 관리하고, 이에 대응하는 업계 모범 사례를 따릅니다.

Axis 보안 알림 피드

2024-02-05

QED Secure Solutions의 Brandon Rothel은 VAPIX API tcptest.cgi에 충분한 입력 검증이 없어 원격 코드 실행의 가능성이 있다는 사실을 발견했습니다. 이 결함(CVSSv3.1: 6.3 Medium - CVE-2023-5677)은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한 서비스 계정에 비해 운영자 권한 서비스 계정의 영향이 더 적습니다. Axis는 아직 소프트웨어 지원을 받고 있는 제품을 위해 5.51 소프트웨어 트랙에서 이 결함에 대한 패치를 출시했습니다.

AXIS OS 버그 바운티 프로그램의 구성원인 Vintage는 VAPIX API create_overlay.cgi에 충분한 입력 검증이 없어 원격 코드 실행의 가능성이 있다는 사실을 발견했습니다. 이 결함(CVSSv3.1: 5.4 Medium - CVE-2023-5800)은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 

Axis는 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 및 (이전 LTS) 8.40 및 6.50 트랙(아직 AXIS OS 소프트웨어 지원을 받는 제품)에 이러한 결함에 대한 패치를 출시했습니다.

2023-11-21

AXIS OS 버그 바운티 프로그램의 회원인 Sandro Poppi가 AXIS OS에서 3가지 결함 발견:
CVE-2023-21416(CVSSv3.1: 7.1 높음), AXIS OS 10.12 - 11.6에 영향을 미침. Axis VAPIX API dynamicoverlay.cgi는 서비스 거부 공격에 취약하여 공격자가 Axis 장치의 웹 인터페이스에서 오버레이 구성 페이지에 대한 접근을 차단할 수 있었습니다. 이런 결함은 운영자나 관리자 권한을 보유한 서비스 계정으로 인증한 후에만 악용될 수 있지만, 그 영향은 마찬가지입니다.

CVE-2023-21417(CVSSv3.1: 7.1 높음), AXIS OS 8.50 - 11.6에 영향을 미침. VAPIX API manageoverlayimage.cgi는 파일/폴더 삭제를 허용하는 경로 탐색 공격에 취약했습니다. 이 결함은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한에 비해 운영자 서비스 계정의 영향이 낮으며, 시스템 파일이 아닌 파일에만 국한됩니다.

CVE-2023-21418(CVSSv3.1: 7.1 높음), AXIS OS 6.50 - 11.6에 영향을 미침. VAPIX API irissetup.cgi는 파일 삭제를 허용하는 경로 탐색 공격에 취약했습니다. 이 결함은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한에 비해 운영자 서비스 계정의 영향이 낮으며, 시스템 파일이 아닌 파일에만 국한됩니다.

Axis는 AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 및 (이전) LTS 6.50 트랙에 이 3가지 결함에 대한 패치를 배포했으며, 아직 AXIS OS 소프트웨어 지원을 받고 있는 제품에는 이 패치를 적용했습니다.

 

내부 ASDM 위협 모델링 도중 결함(CVSSv3.1: 7.6 높음 - CVE-2023-5553)은 AXIS OS 10.8 – 11.5를 실행하는 ARTPEC-8 제품의 장치 탬퍼링(주로 보안 부팅이라고 함)에서 발견되었으며, 이는 고도화된 공격이 이 보호를 우회할 수 있는 기회가 됩니다. Axis는 AXIS OS 11.7 Active Track 및 AXIS OS 10.12 LTS Track에 패치 버전을 출시했습니다.

2023-10-16

Genetec Inc.를 대신하여 GoSecure는 AXIS OS 10.5 – 11.5에서 Axis 장치의 ACAP 애플리케이션 설치 중 원격 코드 실행을 허용하는 결함(CVSSv3.1: 9.1 중요 - CVE-2023-21413)을 발견했습니다. AXIS OS의 애플리케이션 처리 서비스는 공격자가 임의 코드를 실행할 수 있도록 허용하는 명령 주입에 취약했습니다. Axis는 AXIS OS 10.12 LTS 및 11.6 소프트웨어 트랙의 패치 버전을 출시했습니다.

NCC 그룹은 Axis Communications에서 주문한 연례 내부 침투 테스트 중에 결함(CVSSv3.1: 7.1 높음 -CVE-2023-21414)을 발견했습니다. AXIS A8207-VE Mk II, AXIS Q3527-LVE 및 모든 ARTPEC-8 제품의 경우 AXIS OS 10.11 – 11.5의 장치 탬퍼링 방지(일반적으로 보안 부팅이라고 함)에는 정교한 공격이 이 보호 기능을 우회할 수 있는 기회를 허용하는 결함이 포함되어 있습니다. Axis는 AXIS OS 10.12 LTS 및 11.6 소프트웨어 트랙의 패치 버전을 출시했습니다. 

AXIS OS 버그 바운티 프로그램 회원인 Sandro Poppi는 VAPIX API overlay_del.cgi가 AXIS OS 6.50 – 11.5(CVSSv3.1: 6.5 중간 - CVE-2023-21415)에서 파일 삭제를 허용하는 경로 탐색 공격에 취약하다는 사실을 발견했습니다. Axis는 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 및 여전히 AXIS OS 소프트웨어 지원을 받는 제품을 위한 (이전)LTS 6.50 트랙의 패치 버전을 출시했습니다.

2023-08-03

Nozomi Networks Inc.의 Diego Giubertoni는 AXIS License Plate Verifier ACAP 애플리케이션에서 여러 가지 결함을 발견했습니다( CVSSv3.1: 높음 - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412). Axis는 AXIS License Plate Verifier (2.8.4)의 패치 버전을 출시했습니다. 키트 카메라용 사전 설치된 AXIS License Plate Verifier 버전은 AXIS OS 10.12 LTS 및 11.5 트랙에서 업데이트되었습니다.

2023-07-25

Fraktal.fi의 Knud는 OSDP를 통해 통신할 때 일부 Axis 네트워크 도어 컨트롤러 및 Axis 네트워크 인터콤에서 결함을 발견했습니다( CVE-2023-21405). OSDP를 통해 통신할 때 OSDP 메시지 파서가 pacsiod 프로세스와 충돌하여 도어 제어 기능을 일시적으로 사용할 수 없게 된다는 점을 강조합니다. Axis는 영향을 받는 장치에 대해 OSDP 메시지 구문 분석기의 견고성을 높이고 강조된 결함을 패치하는 패치 버전을 출시했습니다.

OTORIO의 Ariel Harush와 Roy Hodir는 OSDP를 통해 통신할 때 AXIS A1001의 결함을 발견했습니다( CVE-2023-21406). 할당된 버퍼 외부에 쓰기를 허용하는 OSDP 통신을 처리하는 pacsiod 프로세스에서 힙 기반 버퍼 오버플로가 발견되었습니다. Axis는 영향을 받는 장치에 대해 OSDP 메시지 구문 분석기의 견고성을 높이고 강조된 결함을 패치하는 패치 버전을 출시했습니다.

2023-05-08

AXIS OS 버그 바운티 프로그램 회원인 Alexander Pick이 AXIS OS 11.0.X - 11.3.x( CVE-2023-21404) Axis 보안 개발 모범 사례를 따르지 않습니다. 레거시 LUA 구성 요소에서 Axis 특정 소스 코드를 암호화하는 데 정적 RSA 키가 사용되었습니다.

2022-11-29

발견된 BOA 웹 서버 취약점에 대한 Axis Communications의 명세서( CVE-2017-9833 CVE-2021-33558). Axis는 펌웨어 5.65 이하의 레거시 제품에서 BOA 웹 서버를 사용해 왔습니다. 그러나 취약점을 악용하는 데 필요한 타사 구성 요소[1]가 Axis 제품에 사용되지 않으므로 이러한 제품은 영향을 받지 않습니다. 그 외에도 API 인터페이스에 대한 입력 검증을 수행하여 추가 보호가 제공됩니다. 펌웨어 5.70 이상이 설치된 최신 Axis 제품은 Apache 웹 서버를 활용하므로 BOA 웹 서버가 제거되었습니다.

[1] backup.html, Preview.html, js/log.js, log.html, email.html, online-users.html, config.js 및 /cgi-bin/wapopen은 사용되지 않습니다

2022-05-05

Nozomi Networks가 발견한 uClibc DNS 취약점에서 Axis Communications의 명세서 ( CVE-2021-43523, CVE-2022-30295). Axis는 2010년부터 Axis 제품, 소프트웨어 및 서비스에 uClibc 패키지를 통합하지 않았습니다. 따라서 현재까지 하드웨어 또는 소프트웨어 지원을 받고 있는 활발하게 판매되거나 단종된 Axis 제품은 AXIS P7701 Video Decoder을 제외하고 이 취약성의 영향을 받지 않습니다. Axis는 현재 이 취약성을 패치하는 서비스 릴리스를 제공할 수 있는지 판단할 수 있는 업스트림 패치가 출시되기를 기다리고 있습니다.

2022-05-04

Axis는 독립적인 연구원과 회사가 수행한 중요성과 노고를 인정하고, 이에 따라 우리의 신규 제품 보안 명예의 전당에서 탁월한 공헌자 목록을 제공합니다.

2022-03-30

업데이트된 버전의 AXIS OS 보안 강화 가이드AXIS Camera Station 시스템을 위한 완전히 새로운 보안 강화 가이드도 출시되었습니다.

2022-03-16

Axis 보안 팀은 보다 상세하고 포괄적인 취약성 관리 프로세스를 제공하는 것을 목표로 제품, 소프트웨어, 서비스에 대한 취약성 관리 정책을 업데이트했습니다. Axis 보안 알림 서비스는 이제부터 Axis 취약성 뿐만 아니라 Apache, OpenSSL 및 Axis 제품, 소프트웨어 및 서비스에 사용되는 기타 타사 오픈 소스 구성 요소에 대해 정기적으로 알리는 데 사용됩니다.

2022-03-13

Axis 보안 개발 모델의 업데이트된 버전은 취약점 검색, 외부 침투 테스트 및 R&D 소프트웨어 개발 내 위협 모델링 프로세스에 대한 도구 확장 설명과 관련된 새로운 세부 정보를 추가하여 출시되었습니다.

2022-03-09

업데이트(CVE-2022-23410). 2월 14일 게시된 보안 권고가 업데이트되었습니다. CVE-2022-23410을 해결하기 위해 Axis IP Utility 4.17.0에 제공된 초기 솔루션은 불완전한 것으로 간주되었으므로, 이 문제를 해결하기 위해 새 버전인 Axis IP Utility 4.18.0이 출시되었습니다. 이 새로운 결함은 홍콩의 James Tsz Ko Yeung가 발견하였습니다.

2022-02-14

외부 연구원이 DLL 하이재킹을 통해 원격 코드 실행 및 로컬 권한 상승을 허용하는 AXIS IP Utility에서 결함( CVE-2022-23410)을 발견했습니다. 이 취약성은 세종시 고려대학교 이승연 교수가 발견했습니다.

2021-12-16

Log4j2 취약성에 대한 Axis Communications의 명세서( CVE 2021-44228). Log4j2 취약성에 대한 노출에 대한 조사가 거의 완료되었으며 현재까지 취약한 시스템을 발견하지 못했습니다. 자세한 내용은 공식 성명에서 확인할 수 있습니다.  

2021-10-05

외부 연구팀이 AXIS OS 지원 장치의 내장 이벤트 시스템 내에서 사용되는 기능에서 몇 가지 결함( CVE-2021-31986, CVE-2021-31987, CVE-2021-31988)을 발견했습니다. 모든 취약성은 Nozomi Network Inc의 Andrea Palanca가 발견했습니다.

2021-08-23

외부 연구 팀은 AXIS Device Manager가 RAM에 저장된 장치 자격 증명을 처리하는 과정에서 단점을 발견했습니다. 자세한 내용은 Axis 보안 권고를 읽어 보시기 바랍니다. 이 취약성은 Modux Limted의 Ben Leonard-Lagarde와 Freddie Sibley-Calder가 발견했습니다.

2020-04-08

Axis Communications는 Axis 제품에 대한 CVE(Common Vulnerability and Exposures) 번호 부여 기관(CNA)으로 승인되어 당사가 제품의 취약성에 CVE ID를 할당하고 게시할 수 있는 권한을 부여했습니다. Axis Communications의 글로벌 제품 관리자인 Sebastian Hultqvist는 "CNA로 인정받는 것은 우리의 지속적인 작업에 대한 증거이며, Axis의 취약성 관리 및 보안 모범 사례를 강조합니다"고 말했습니다. 여기에서 전체 보도자료를 읽어보시기 바랍니다.

2020-07-31

내부 소프트웨어 보안 감사를 통해 AXIS W800 및 AXIS S3008의 장치 템퍼링(보안 부팅이라고 함)에서 결함이 발견되었습니다. 자세한 내용은 Axis 보안 권고를 읽어보시기 바랍니다.

2020-06-22

고객이 보안 검색 결과에 대한 위험 분석을 수행하도록 지원하기 위해 보안 검색 도구의 일반적인 설명을 게시하였습니다.

2020-03-19

내부 소프트웨어 보안 감사를 통해 AXIS Q3527-LVE 및 AXIS A8207-VE MkII의 장치 템퍼링(보안 부팅이라고 함)에서 결함이 발견되었습니다. 자세한 내용은 Axis 보안 권고를 읽어보시기 바랍니다

2019-09-23

한 연구원은 WS Discovery(포트 3207)를 인터넷에 노출하는 ONVIF 장치가 DDOS(분산 서비스 거부) 공격에 악용되기 쉽다는 사실을 발견했습니다. 자세한 내용은 Axis 보안 권고를 읽어보시기 바랍니다.