Zasoby dotyczące cyberbezpieczeństwa

System operacyjny AXIS OS

Erik de Jong, członek programu AXIS OS Bug Bounty, znalazł 1 wadę w systemie operacyjnym AXIS:

CVE-2024-8160 (CVSSv3.1: 3.8 Low) wpływająca na AXIS OS 10.9–12.0. Interfejs API VAPIX ftptest.cgi nie posiadał wystarczającej walidacji danych wejściowych, co pozwalało na potencjalne wprowadzenie poleceń, co uniemożliwiało przesyłanie plików z/do urządzenia Axis. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez administratora. 

51l3nc3, członek programu AXIS OS Bug Bounty, znalazł 1 wadę w systemie operacyjnym AXIS:

CVE-2024-8772 (CVSSv3.1: 4.3 Medium) wpływająca na system operacyjny AXIS OS 9.80–12.0. Interfejs API VAPIX managedoverlayimages.cgi był podatny na atak typu race condition, umożliwiający atakującemu zablokowanie dostępu do strony konfiguracji nakładki w interfejsie WWW urządzenia Axis. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora.

Florent Thiéry znalazł 1 wadę w systemie operacyjnym AXIS:

CVE-2024-47257 (CVSSv3.1: 7.5 (High) wpływająca na AXIS OS 6.50. Wybrane urządzenia Axis były podatne na obsługę niektórych ramek Ethernet, co mogło spowodować niedostępność urządzenia Axis w sieci.

Firma Axis udostępniła poprawki na te luki w wersji 12.1 Active Track, LTS 2024 11.11, LTS 2022 10.12, a także na lukę CVE-2024-8772 w wersji LTS 2020 9.80. W przypadku luki CVE-2024-47257 udostępniono poprawkę do wersji 6.50 (dawniej LTS) dla produktów, które są nadal objęte wsparciem oprogramowania AXIS OS.

AXIS Camera Station Pro

Seth Fogie, członek programu AXIS Camera Station Pro Bug Bounty, znalazł 2 wady w AXIS Camera Station Pro i AXIS Camera Station 5:

CVE-2024-6831 (CVSSv3.1: 4.4 Medium) wpływająca na AXIS Camera Station Pro <6.4 i AXIS Camera Station <5.57.33556. Edycja i/lub usuwanie widoków bez wymaganych uprawnień była możliwa ze względu na kontrolę przeprowadzaną wyłącznie po stronie klienta.

CVE-2024-6749 (CVSSv3.1: 6.3 Medium) wpływająca na AXIS Camera Station Pro 6.0–6.3 i AXIS Camera Station 5.25–5.57.27610. Funkcja raportowania incydentów może ujawnić poufne dane uwierzytelniające AXIS Camera Station w kliencie Windows. Ta wada nie występuje, jeśli raport o incydencie nie jest używany przy użyciu skonfigurowanych poświadczeń.

Firma Gee-netics, członek programu AXIS Camera Station Pro Bug Bounty, odkryła, że użytkownik bez uprawnień administratora może uzyskać uprawnienia systemowe, przekierowując usuwanie plików podczas ponownego uruchamiania usługi.

CVE-2024-6476 (CVSSv3.1: 4.2 Medium) wpływająca na AXIS Camera Station Pro <6.4 i AXIS Camera Station <5.57.33556. 

Firma Axis udostępniła poprawki na te luki zarówno w wersjach AXIS Camera Station Pro, jak i AXIS Camera Station 5.

Marinus Pfund, członek programu AXIS OS Bug Bounty, znalazł 2 wady w systemie operacyjnym AXIS:
CVE-2024-0067 (CVSSv3.1: 4.3 Medium), która dotyczy wersji AXIS OS 8.40 - 11.10. Interfejs API VAPIX ledlimit.cgi był podatny na ataki typu path traversal, umożliwiające wyświetlanie nazw folderów/plików w lokalnym systemie plików urządzenia Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Medium), która dotyczy wersji AXIS OS 6.50 - 11.11. Interfejs API VAPIX alwaysmulti.cgi był podatny na globbing plików, co mogło doprowadzić do wyczerpania zasobów urządzenia Axis.

Firma Axis udostępniła poprawki na te luki w ścieżkach LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 oraz ścieżkach (dawniej LTS) 8.40 i 6.50 dla produktów, które wciąż są objęte wsparciem oprogramowania AXIS OS.

51l3nc3, członek programu AXIS OS Bug Bounty, znalazł 1 lukę w systemie AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Medium), która dotyczy wersji AXIS OS 6.50 - 11.10. Parametr interfejsu API Guard Tour VAPIX umożliwiał użycie dowolnych wartości, dzięki którym atakujący mógł zablokować dostęp do strony konfiguracji Guard Tour w interfejsie internetowym urządzenia Axis.

Firma Axis udostępniła poprawki naprawiające błąd w ścieżkach LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 oraz ścieżkach 8.40 i 6.50 (dawniej LTS) dla produktów, które wciąż są objęte wsparciem oprogramowania AXIS OS.

Amin Aliakbari, członek programu AXIS OS Bug Bounty, znalazł 1 błąd w systemie operacyjnym AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Medium), która dotyczy wersji AXIS OS 11.11. Niesprawna kontrola dostępu umożliwiała kontom operatora i/lub widza o mniejszych uprawnieniach posiadanie większych uprawnień, niż przewidziano. Ryzyko wykorzystania luki jest bardzo niskie, ponieważ wymaga wykonania skomplikowanych czynności, w tym znajomości haseł do kont i ataków socjotechnicznych mających na celu nakłonienie administratora do wykonania określonych konfiguracji na kontach z uprawnieniami operatora i/lub widza.

Firma Axis udostępniła poprawki na tę lukę w ramach ścieżki LTS 2024 11.11.

Podczas wewnętrznego modelowania zagrożeń ASDM firma Axis znalazła 1 lukę w systemie operacyjnym AXIS:
CVE-2024-7784 (CVSSv3.1: 6.1 Medium) dotyczy produktów Axis ARTPEC-8 z systemem operacyjnym AXIS OS 10.9 - 11.11, produktów Axis i.MX8 QP z systemem operacyjnym AXIS OS 11.11, produktów Axis i.MX6 SX, i.MX6 ULL z systemem operacyjnym AXIS OS 10.10 - 11.11, produktów Axis i.MX8M Mini oraz i.MX8M Nano UL z systemem operacyjnym AXIS OS 11.8 - 11.1. Odkryto lukę w zabezpieczeniu przed manipulacją urządzeniem (powszechnie znanym jako Secure Boot) w systemie AXIS OS, co czyni je podatnym na wyrafinowane ataki mające na celu ominięcie tego zabezpieczenia. Według wiedzy firmy Axis, na dzień dzisiejszy nie istnieją żadne publicznie znane błędy typu exploit i firma Axis nie ma świadomości, że taki błąd został wykorzystany.

Firma Axis udostępniła poprawki naprawiające tę lukę w wersjach 12.0 Active Track, LTS 2024 11.11 i LTS 2022 10.12. Ze względów bezpieczeństwa poprawka wymusi również ograniczenia dotyczące obniżania wersji, co oznacza, że produkt będzie mógł zostać obniżony do najnowszej wersji ścieżki LTS 2024 11.11 lub LTS 2022 10.12 pod warunkiem posiadania odpowiedniego wsparcia. Inne, starsze lub pośrednie wersje systemu AXIS OS nie będą od tej pory akceptowane przez produkt.

Johan Fagerström, członek programu AXIS OS Bug Bounty, znalazł lukę (CVE-2024-0066 - CVSSv3.1: 5.3 Medium) w funkcji O3C, która może ujawnić wrażliwy ruch pomiędzy klientem (urządzeniem Axis) a serwerem (O3C). Jeśli O3C nie jest używana, ta luka nie ma zastosowania. 

Firma Axis wydała poprawki dla tych błędów w Active Track 11.10, LTS 2022 10.12, LTS 2020 9.80 oraz (wcześniej LTS) 8.40 i 6.50, a także oprogramowaniu 5.51 produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

Sandro Poppi, członek programu AXIS OS Bug Bounty, znalazł 2 wady w systemie operacyjnym AXIS:

CVE-2024-0054 (CVSSv3.1: 6.5 Medium) wpływające na system operacyjny AXIS 6.50 - 11.8. API VAPIX local_list.cgi, create_overlay.cgi i irissetup.cgi był podatny na manipulację plikami, co mogło prowadzić do ataku polegającego na wyczerpaniu zasobów.

CVE-2024-0055 (CVSSv3.1: 6.5 Medium) wpływające na system operacyjny AXIS 10.12 - 11.8. API VAPIX mediaclip.cgi i playclip.cgi był podatny na manipulację plikami, co mogło prowadzić do ataku polegającego na wyczerpaniu zasobów.

Firma Axis wydała poprawki dla tych błędów w 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 i (byłych LTS) ścieżkach 8.40 i 6.50 dla produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

Brandon Rothel z QED Secure Solutions ustalił, że VAPIX API tcptest.cgi nie zapewnia wystarczającej walidacji danych wejściowych, umożliwiającej ewentualne zdalne uruchomienie kodu. Ta luka (CVSSv3.1: 6.3 Poziom średni - CVE-2023-5677) może zostać wykorzystana wyłącznie po uwierzytelnieniu za pomocą konta usługi z uprawnieniami operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług z uprawnieniami operatora i w porównaniu z kontami z uprawnieniami administratora. Firma Axis wydała poprawki usuwające tę lukę w wersji oprogramowania 5.51 w przypadku produktów nadal objętych wsparciem programowym.

Vintage, członek programu AXIS OS Bug Bounty, stwierdził, że interfejs API VAPIX create_overlay.cgi nie posiada wystarczającej weryfikacji danych wejściowych, co umożliwia ewentualne zdalne uruchomienie kodu. Ta luka (CVSSv3.1: 5.4 Poziom średni - CVE-2023-5800) może zostać wykorzystana wyłącznie po uwierzytelnieniu za pomocą konta usługi z uprawnieniami operatora lub administratora. 

Firma Axis wydała poprawki usuwające te wady w przypadku ścieżek 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 i (uprzednich LTS) 8.40 i 6.50 w przypadków produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

Sandro Poppi, członek programu AXIS OS Bug Bounty, znalazł 3 luki w systemie AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 10.12 - 11.6. Interfejs API Axis VAPIX dynamicoverlay.cgi był podatny na atak typu „odmowa usługi”, umożliwiający osobie atakującej zablokowanie dostępu do strony konfiguracji nakładki w interfejsie internetowym urządzenia Axis. Błąd można wykorzystać tylko po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora, jednak rezultat jest taki sam.

CVE-2023-21417 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 8.50 - 11.6. Interfejs API VAPIX Manageoverlayimage.cgi był podatny na ataki polegające na przechodzeniu ścieżki, która umożliwia usunięcie pliku/folderu. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług operatora i ograniczają się do plików niesystemowych w porównaniu z uprawnieniami administratora.

CVE-2023-21418 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 6.50 - 11.6. Interfejs API VAPIX irissetup.cgi był podatny na ataki polegające na przechodzeniu ścieżki, która umożliwia usunięcie pliku/folderu. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług operatora i ograniczają się do plików niesystemowych w porównaniu z uprawnieniami administratora.

Firma Axis wydała poprawki dla tych 3 błędów w AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 i (byłej) ścieżce LTS 6.50 dla produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

Błąd podczas wewnętrznego modelowania zagrożeń ASDM (CVSSv3.1: 7.6 Wysoki poziom — CVE-2023-5553) w zabezpieczeniu przed sabotażem urządzenia (tzw. Secure Boot) w produktach ARTPEC-8 z systemem AXIS OS 10.8–11.5, który umożliwia wyrafinowany atak z obejściem tego zabezpieczenia. Firma Axis udostępniła poprawione wersje systemów AXIS OS 11.7 Active Track i AXIS OS 10.12 LTS.

Firma GoSecure działająca na rzecz Genetec Inc. wykryła lukę (CVSSv3.1: 9.1 Krytyczny poziom — CVE-2023-21413) w systemie AXIS OS 10.5 – 11.5, która umożliwiała zdalne uruchomienie kodu podczas instalacji aplikacji ACAP na urządzeniu Axis. Usługa obsługi aplikacji w systemie AXIS OS była podatna na wprowadzenie polecenia umożliwiającego cyberprzestępcy uruchomienie dowolnego kodu. Firma Axis udostępniła poprawioną wersję systemu AXIS OS 10.12 LTS i ścieżki oprogramowania 11.6.

Grupa NCC wykryła lukę (CVSSv3.1: 7.1 Wysoki poziom — CVE-2023-21414) podczas corocznego wewnętrznego testu penetracyjnego zleconego przez Axis Communications. W przypadku AXIS A8207-VE Mk II, AXIS Q3527-LVE i wszystkich produktów ARTPEC-8 zabezpieczenie przed sabotażem urządzenia (powszechnie znana jako Secure Boot) w systemie AXIS OS 10.11–11.5 zawiera lukę, która umożliwia zaawansowany atak obejścia tego zabezpieczenia. Firma Axis udostępniła poprawioną wersję systemu AXIS OS 10.12 LTS i ścieżki oprogramowania 11.6. 

Sandro Poppi, członek programu AXIS OS Bug Bounty, odkrył, że interfejs API VAPIX overlay_del.cgi jest podatny na ataki polegające na przechodzeniu ścieżki, co umożliwia usunięcie plików w systemie AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Średni poziom — CVE-2023-21415). Firma Axis udostępniła poprawione wersje 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 i (byłej) ścieżki LTS 6.50 do produktów nadal objętych wsparciem systemu AXIS OS.

Diego Giubertoni z Nozomi Networks Inc. znalazł szereg luk (CVSSv3.1: wysoki poziom —CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) w aplikacji AXIS License Plate Verifier ACAP. Firma Axis wydała poprawioną wersję AXIS License Plate Verifier (2.8.4). Wstępnie zainstalowane wersje AXIS License Plate Verifier do kamer z zestawach są aktualizowane w wersji systemu AXIS OS 10.12 LTS i 11.5.

Knud z Fraktal.fi znalazł lukę w niektórych sieciowych kontrolerach drzwi Axis i interkomach sieciowych Axis podczas komunikacji przez OSDP ( CVE-2023-21405), podkreślając, że parser komunikatów OSDP zawiesza proces pacsiod, powodując tymczasową niedostępność funkcji kontrolujących drzwi. Firma Axis wydała poprawioną wersję do tych urządzeń, która zwiększa niezawodność analizatora komunikatów OSDP z łatą usuwającą lukę.

Ariel Harush i Roy Hodir z OTORIO wykryli lukę w kamerze AXIS A1001 podczas komunikacji przez OSDP ( CVE-2023-21406). W procesie pacsiod obsługującym komunikację OSDP, umożliwiającą zapis poza przydzielonym buforem, wykryto przepełnienie bufora opartego na stercie. Firma Axis wydała poprawioną wersję do tych urządzeń, która zwiększa niezawodność analizatora komunikatów OSDP z łatą usuwającą lukę.

Alexander Pick, członek programu AXIS OS Bug Bounty, wykrył lukę w systemie AXIS OS 11.0.X - 11.3.x ( CVE-2023-21404), która nie jest zgodna z najlepszymi praktykami Axis w zakresie bezpiecznego projektowania. Do szyfrowania kodu źródłowego specyficznego dla rozwiązań Axis w starszych komponentach LUA użyto statycznego klucza RSA.

Oświadczenie firmy Axis Communications w sprawie wykrytych luk w zabezpieczeniach serwera sieciowego BOA (CVE-2017-9833 i CVE-2021-33558). Firma Axis korzysta z serwera sieciowego BOA w przypadku starszych produktów z oprogramowaniem sprzętowym 5.65 i starszym. Nie ma to jednak wpływu na te produkty, ponieważ w produktach Axis nie są używane komponenty innych firm[1] wymagane do wykorzystania luk w zabezpieczeniach. Oprócz tego zapewniona jest dodatkowa ochrona poprzez sprawdzanie poprawności danych wejściowych w interfejsach API. Nowsze produkty Axis z oprogramowaniem sprzętowym 5.70 i nowszym korzystają z serwera sieciowego Apache, w związku z czym serwer sieciowy BOA został usunięty.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen nie są stosowane

Oświadczenie firmy Axis Communications dotyczące luki w zabezpieczeniach uClibc DNS wykrytej przez Nozomi Networks ( CVE-2021-43523, CVE-2022-30295). Od 2010 roku firma Axis nie włącza pakietu uClibc do produktów, oprogramowania i usług Axis. Do chwili obecnej ta luka nie dotyczy żadnego aktywnie sprzedawanego lub wycofywanego produktu Axis, który jest nadal objęty wsparciem technicznym lub oprogramowania, z wyjątkiem AXIS P7701 Video Decoder. Obecnie czekamy na dostępność łaty nadrzędnej, aby ocenić, czy będziemy w stanie udostępnić wydanie serwisowe usuwające tę lukę.

Firma Axis uznaje znaczenie i wysiłki niezależnych specjalistów i firm, dlatego wymienia wybitnych partnerów w naszej nowym Zestawieniu wybitnych specjalistów w dziedzinie bezpieczeństwa produktów.

Wydaliśmy zaktualizowaną wersję Przewodnika po zabezpieczeniach systemu AXIS OS a także zupełnie nowy przewodnik po zabezpieczeniach AXIS Camera Station System.

Zespół ds. bezpieczeństwa Axis zaktualizował politykę zarządzania lukami w produktach, oprogramowaniu i usługach mając na celu zapewnienie bardziej szczegółowego i kompleksowego procesu zarządzania lukami. Firma Axis będzie odtąd wykorzystywała Usługę powiadamiania o bezpieczeństwie w celu regularnego informowania nie tylko o lukach w zabezpieczeniach rozwiązań Axis, ale także o komponentach typu open source innych firm, takich jak Apache, OpenSSL i inne wykorzystywane w produktach, oprogramowaniu oraz usługach Axis.