Zabezpieczenie sieci, jej urządzeń i obsługiwanych przez nią usług wymaga aktywnego udziału całego łańcucha dostaw dostawców, a także organizacji użytkowników końcowych. Firma Axis zapewnia narzędzia, dokumentację i szkolenia, które pomogą Ci ograniczyć ryzyko oraz zapewnić aktualność oraz ochronę produktów i usług Axis.

Wyróżnione zasoby

cybersec axis office

Rozwiązania cyberbezpieczeństwa firmy Axis

Dowiedz się, jak firma Axis wspiera środki bezpieczeństwa cybernetycznego, które pomagają zmniejszyć ryzyko incydentu cybernetycznego.

Women working laptop

Bezpieczna analiza danych

Przeczytaj artykuły o cyberbezpieczeństwie na naszym blogu.

hand fingers email icons

Powiadomienia dotyczące bezpieczeństwa

Otrzymuj powiadomienia o lukach w zabezpieczeniach i inne informacje związane z bezpieczeństwem.

women screen man office

Zarządzanie podatnością na ataki

Firma Axis postępuje zgodnie z najlepszymi praktykami branżowymi w zakresie zarządzania wykrytymi lukami i reagowania na wykryte luki w przejrzysty sposób.

Usługa powiadamiania o zabezpieczeniach firmy Axis

2024-02-05

Brandon Rothel z QED Secure Solutions ustalił, że VAPIX API tcptest.cgi nie zapewnia wystarczającej walidacji danych wejściowych, umożliwiającej ewentualne zdalne uruchomienie kodu. Ta luka (CVSSv3.1: 6.3 Poziom średni - CVE-2023-5677) może zostać wykorzystana wyłącznie po uwierzytelnieniu za pomocą konta usługi z uprawnieniami operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług z uprawnieniami operatora i w porównaniu z kontami z uprawnieniami administratora. Firma Axis wydała poprawki usuwające tę lukę w wersji oprogramowania 5.51 w przypadku produktów nadal objętych wsparciem programowym.

Vintage, członek programu AXIS OS Bug Bounty, stwierdził, że interfejs API VAPIX create_overlay.cgi nie posiada wystarczającej weryfikacji danych wejściowych, co umożliwia ewentualne zdalne uruchomienie kodu. Ta luka (CVSSv3.1: 5.4 Poziom średni - CVE-2023-5800) może zostać wykorzystana wyłącznie po uwierzytelnieniu za pomocą konta usługi z uprawnieniami operatora lub administratora. 

Firma Axis wydała poprawki usuwające te wady w przypadku ścieżek 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 i (uprzednich LTS) 8.40 i 6.50 w przypadków produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

2023-11-21

Sandro Poppi, członek programu AXIS OS Bug Bounty, znalazł 3 luki w systemie AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 10.12 - 11.6. Interfejs API Axis VAPIX dynamicoverlay.cgi był podatny na atak typu „odmowa usługi”, umożliwiający osobie atakującej zablokowanie dostępu do strony konfiguracji nakładki w interfejsie internetowym urządzenia Axis. Błąd można wykorzystać tylko po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora, jednak rezultat jest taki sam.

CVE-2023-21417 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 8.50 - 11.6. Interfejs API VAPIX Manageoverlayimage.cgi był podatny na ataki polegające na przechodzeniu ścieżki, która umożliwia usunięcie pliku/folderu. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług operatora i ograniczają się do plików niesystemowych w porównaniu z uprawnieniami administratora.

CVE-2023-21418 (CVSSv3.1: 7.1 High) wpływające na AXIS OS 6.50 - 11.6. Interfejs API VAPIX irissetup.cgi był podatny na ataki polegające na przechodzeniu ścieżki, która umożliwia usunięcie pliku/folderu. Błąd można wykorzystać wyłącznie po uwierzytelnieniu za pomocą konta usługi uprzywilejowanego przez operatora lub administratora. Skutki wykorzystania tej luki są mniejsze w przypadku kont usług operatora i ograniczają się do plików niesystemowych w porównaniu z uprawnieniami administratora.

Firma Axis wydała poprawki dla tych 3 błędów w AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 i (byłej) ścieżce LTS 6.50 dla produktów nadal objętych wsparciem dla oprogramowania AXIS OS.

 

Błąd podczas wewnętrznego modelowania zagrożeń ASDM (CVSSv3.1: 7.6 Wysoki poziom — CVE-2023-5553) w zabezpieczeniu przed sabotażem urządzenia (tzw. Secure Boot) w produktach ARTPEC-8 z systemem AXIS OS 10.8–11.5, który umożliwia wyrafinowany atak z obejściem tego zabezpieczenia. Firma Axis udostępniła poprawione wersje systemów AXIS OS 11.7 Active Track i AXIS OS 10.12 LTS.

2023-10-16

Firma GoSecure działająca na rzecz Genetec Inc. wykryła lukę (CVSSv3.1: 9.1 Krytyczny poziom — CVE-2023-21413) w systemie AXIS OS 10.5 – 11.5, która umożliwiała zdalne uruchomienie kodu podczas instalacji aplikacji ACAP na urządzeniu Axis. Usługa obsługi aplikacji w systemie AXIS OS była podatna na wprowadzenie polecenia umożliwiającego cyberprzestępcy uruchomienie dowolnego kodu. Firma Axis udostępniła poprawioną wersję systemu AXIS OS 10.12 LTS i ścieżki oprogramowania 11.6.

Grupa NCC wykryła lukę (CVSSv3.1: 7.1 Wysoki poziom — CVE-2023-21414) podczas corocznego wewnętrznego testu penetracyjnego zleconego przez Axis Communications. W przypadku AXIS A8207-VE Mk II, AXIS Q3527-LVE i wszystkich produktów ARTPEC-8 zabezpieczenie przed sabotażem urządzenia (powszechnie znana jako Secure Boot) w systemie AXIS OS 10.11–11.5 zawiera lukę, która umożliwia zaawansowany atak obejścia tego zabezpieczenia. Firma Axis udostępniła poprawioną wersję systemu AXIS OS 10.12 LTS i ścieżki oprogramowania 11.6. 

Sandro Poppi, członek programu AXIS OS Bug Bounty, odkrył, że interfejs API VAPIX overlay_del.cgi jest podatny na ataki polegające na przechodzeniu ścieżki, co umożliwia usunięcie plików w systemie AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Średni poziom — CVE-2023-21415). Firma Axis udostępniła poprawione wersje 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 i (byłej) ścieżki LTS 6.50 do produktów nadal objętych wsparciem systemu AXIS OS.

2023-08-03

Diego Giubertoni z Nozomi Networks Inc. znalazł szereg luk (CVSSv3.1: wysoki poziom —CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) w aplikacji AXIS License Plate Verifier ACAP. Firma Axis wydała poprawioną wersję AXIS License Plate Verifier (2.8.4). Wstępnie zainstalowane wersje AXIS License Plate Verifier do kamer z zestawach są aktualizowane w wersji systemu AXIS OS 10.12 LTS i 11.5.

2023-07-25

Knud z Fraktal.fi znalazł lukę w niektórych sieciowych kontrolerach drzwi Axis i interkomach sieciowych Axis podczas komunikacji przez OSDP ( CVE-2023-21405), podkreślając, że parser komunikatów OSDP zawiesza proces pacsiod, powodując tymczasową niedostępność funkcji kontrolujących drzwi. Firma Axis wydała poprawioną wersję do tych urządzeń, która zwiększa niezawodność analizatora komunikatów OSDP z łatą usuwającą lukę.

Ariel Harush i Roy Hodir z OTORIO wykryli lukę w kamerze AXIS A1001 podczas komunikacji przez OSDP ( CVE-2023-21406). W procesie pacsiod obsługującym komunikację OSDP, umożliwiającą zapis poza przydzielonym buforem, wykryto przepełnienie bufora opartego na stercie. Firma Axis wydała poprawioną wersję do tych urządzeń, która zwiększa niezawodność analizatora komunikatów OSDP z łatą usuwającą lukę.

2023-05-08

Alexander Pick, członek programu AXIS OS Bug Bounty, wykrył lukę w systemie AXIS OS 11.0.X - 11.3.x ( CVE-2023-21404), która nie jest zgodna z najlepszymi praktykami Axis w zakresie bezpiecznego projektowania. Do szyfrowania kodu źródłowego specyficznego dla rozwiązań Axis w starszych komponentach LUA użyto statycznego klucza RSA.

2022-11-29

Oświadczenie firmy Axis Communications w sprawie wykrytych luk w zabezpieczeniach serwera sieciowego BOA (CVE-2017-9833 i CVE-2021-33558). Firma Axis korzysta z serwera sieciowego BOA w przypadku starszych produktów z oprogramowaniem sprzętowym 5.65 i starszym. Nie ma to jednak wpływu na te produkty, ponieważ w produktach Axis nie są używane komponenty innych firm[1] wymagane do wykorzystania luk w zabezpieczeniach. Oprócz tego zapewniona jest dodatkowa ochrona poprzez sprawdzanie poprawności danych wejściowych w interfejsach API. Nowsze produkty Axis z oprogramowaniem sprzętowym 5.70 i nowszym korzystają z serwera sieciowego Apache, w związku z czym serwer sieciowy BOA został usunięty.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen nie są stosowane

2022-05-05

Oświadczenie firmy Axis Communications dotyczące luki w zabezpieczeniach uClibc DNS wykrytej przez Nozomi Networks ( CVE-2021-43523, CVE-2022-30295). Od 2010 roku firma Axis nie włącza pakietu uClibc do produktów, oprogramowania i usług Axis. Do chwili obecnej ta luka nie dotyczy żadnego aktywnie sprzedawanego lub wycofywanego produktu Axis, który jest nadal objęty wsparciem technicznym lub oprogramowania, z wyjątkiem AXIS P7701 Video Decoder. Obecnie czekamy na dostępność łaty nadrzędnej, aby ocenić, czy będziemy w stanie udostępnić wydanie serwisowe usuwające tę lukę.

2022-05-04

Firma Axis uznaje znaczenie i wysiłki niezależnych specjalistów i firm, dlatego wymienia wybitnych partnerów w naszej nowym Zestawieniu wybitnych specjalistów w dziedzinie bezpieczeństwa produktów.

2022-03-30

Wydaliśmy zaktualizowaną wersję Przewodnika po zabezpieczeniach systemu AXIS OS a także zupełnie nowy przewodnik po zabezpieczeniach AXIS Camera Station System.

2022-03-16

Zespół ds. bezpieczeństwa Axis zaktualizował politykę zarządzania lukami w produktach, oprogramowaniu i usługach mając na celu zapewnienie bardziej szczegółowego i kompleksowego procesu zarządzania lukami. Firma Axis będzie odtąd wykorzystywała Usługę powiadamiania o bezpieczeństwie w celu regularnego informowania nie tylko o lukach w zabezpieczeniach rozwiązań Axis, ale także o komponentach typu open source innych firm, takich jak Apache, OpenSSL i inne wykorzystywane w produktach, oprogramowaniu oraz usługach Axis.

2022-03-13

Wydaliśmy zaktualizowaną wersję Modelu projektowania zabezpieczeń AXIS, dodając nowe szczegóły dotyczące skanowania pod kątem luk, zewnętrznych testów penetracyjnych, a także wyjaśnienia dotyczące rozszerzeń narzędzi procesu modelowania zagrożeń w ramach tworzenia oprogramowania badawczo-rozwojowego.

2022-03-09

Aktualizacja (CVE-2022-23410). Komunikat dotyczący bezpieczeństwa opublikowany 14 lutego został zaktualizowany. Początkowe rozwiązanie dostarczone w ramach Axis IP Utility 4.17.0 w celu rozwiązania problemu CVE-2022-23410 uznano za niekompletne, dlatego wydano nową wersję Axis IP Utility 4.18.0, aby rozwiązać ten problem. Tę nową lukę wykrył James Tsz Ko Yeung z Hongkongu.

2022-02-14

Zewnętrzny specjalista wykrył lukę ( CVE-2022-23410) w AXIS IP Utility, który umożliwia zdalne uruchomienie kodu i lokalną eskalację uprawnień poprzez przejęcie biblioteki DLL. Lukę odkrył SeungYun Lee z Koreańskiego Uniwersytetu w Sedżong.

2021-12-16

Oświadczenie firmy Axis Communications dotyczące luki Log4j2 (CVE 2021-44228). Dochodzenie w sprawie luki Log4j2 jest prawie zakończone i jak dotąd nie znaleźliśmy żadnych systemów podatnych na ataki. Więcej szczegółów podajemy w oficjalnym oświadczeniu.  

2021-10-05

Zewnętrzny zespół badawczy odkrył kilka luk (CVE-2021-31986, CVE-2021-31987, CVE-2021-31988) w funkcjonalnościach wykorzystywanych w ramach wbudowanego systemu zdarzeń urządzeń obsługujących system AXIS OS. Wszystkie luki zostały wykryte przez Andrea Palanca z Nozomi Network Inc.

2021-08-23

Zewnętrzny zespół badawczy odkrył lukę w obsłudze przez AXIS Device Manager poświadczeń urządzeń przechowywanych w pamięci RAM, więcej informacji podajemy w Poradach dotyczących zabezpieczeń rozwiązań Axis. Lukę odkryli Ben Leonard-Lagarde i Freddie Sibley-Calder z Modux Limited.

2020-04-08

Firma Axis Communications została zatwierdzona jako podmiot Common Vulnerability and Exposures Authority (CVE) — CNA — odnośnie do produktów Axis, co upoważnia naszą firmę do przypisywania i publikowania identyfikatorów CVE lukom w zabezpieczeniach naszych produktów. Sebastian Hultqvist, globalny menedżer ds. produktów w Axis Communications: „Uzyskanie statusu CNA to wynik naszej ciągłej pracy i najlepszych praktyk firmy Axis w zakresie zarządzania lukami i bezpieczeństwem. Przeczytaj cały komunikat prasowy tutaj.

2020-07-31

Wewnętrzny audyt bezpieczeństwa oprogramowania wykrył lukę umożlwiającą sabotaż urządzeń (tzw. Secure Boot) w AXIS W800 i AXIS S3008. Więcej informacji podajemy w Poradach dotyczących zabezpieczeń rozwiązań Axis.

2020-06-22

Opublikowaliśmy Typowe wyniki uzyskane za pośrednictwem narzędzi do skanowania bezpieczeństwa, aby pomóc klientom w przeprowadzeniu analizy ryzyka na podstawie wyników skanowania bezpieczeństwa.

2020-03-19

Wewnętrzny audyt bezpieczeństwa oprogramowania wykrył lukę umożliwiającą sabotaż urządzeń (tzw. Secure Boot) w AXIS Q3527-LVE i AXIS A8207-VE MkII. Więcej informacji podajemy w Poradach dotyczących zabezpieczeń rozwiązań Axis.

2019-09-23

Specjalisty wykrył, że urządzenia ONVIF udostępniające usługę WS Discovery (port 3207) w Internecie są podatne na ataki typu Distributed Denial-Of-Service (DDOS). Więcej informacji podajemy w Poradach dotyczących zabezpieczeń rozwiązań Axis.