Proteger uma rede, seus dispositivos e os serviços que ela oferece requer a participação ativa de toda a cadeia de suprimentos do fornecedor, bem como da organização do usuário final. A Axis fornece ferramentas, documentação e treinamento para ajudar você a mitigar riscos e manter seus produtos e serviços Axis atualizados e protegidos.

Recursos em destaque

cybersec axis office

Segurança cibernética da Axis

Saiba como a Axis oferece suporte a medidas de segurança cibernética que ajudam você a reduzir o risco de um incidente cibernético.

Women working laptop

Percepções sobre segurança

Leia artigos sobre segurança cibernética em nosso blog.

hand fingers email icons

Notificações de segurança

Receba notificações sobre vulnerabilidades e outras informações relacionadas à segurança.

women screen man office

Gerenciamento de vulnerabilidades

A Axis segue as práticas recomendadas do setor para gerenciar e responder – com transparência – às vulnerabilidades descobertas.

Feed de notificações de segurança da Axis

2024-02-05

Brandon Rothel, da QED Secure Solutions, descobriu que a API VAPIX tcptest.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 6.3 Média - CVE-2023-5677) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas com privilégios de operador em comparação com contas de serviço com privilégios de administrador. A Axis lançou patches para esta falha na faixa de software 5.51 para produtos ainda sob suporte de software.

Vintage, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX create_overlay.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 5.4 Média - CVE-2023-5800) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. 

A Axis lançou patches para essas falhas nas faixas 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 e nas faixas (antiga LTS) 8.40 e 6.50 para produtos ainda sob suporte de software para AXIS OS.

2023-11-21

Sandro Poppi, membro do AXIS OS Bug Bounty Program, encontrou 3 falhas no AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 10.12 – 11.6. A API Axis VAPIX dynamicoverlay.cgi era vulnerável a um ataque de negação de serviços, permitindo que um invasor bloqueasse o acesso à página de configuração de sobreposição na interface Web do dispositivo Axis. Esta falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador, mas o impacto é igual.

CVE-2023-21417 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 8.50 – 11.6. A API VAPIX manageroverlayimage.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos/pastas. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador.

CVE-2023-21418 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 6.50 – 11.6. A API VAPIX irissetup.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador.

A Axis lançou patches para essas três falhas no AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e a (antiga) faixa LTS 6.50 para produtos ainda com suporte de software AXIS OS.

 

Durante a modelagem de ameaças ASDM interna, uma falha (CVSSv3.1: 7.6 Alto – CVE-2023-5553) foi encontrada na proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) em produtos ARTPEC-8 que executam o AXIS OS 10.8 – 11.5, o que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 11.7 Active Track e no AXIS OS 10.12 LTS track.

2023-10-16

A GoSecure em nome da Genetec Inc. encontrou uma falha (CVSSv3.1: 9.1 Crítica – CVE-2023-21413) no AXIS OS 10.5 – 11.5 que permitia a execução remota de código durante a instalação de aplicativos ACAP no dispositivo Axis. O serviço de manipulação de aplicativos no AXIS OS era vulnerável à injeção de comandos, permitindo que um invasor executasse código arbitrário. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6.

O NCC Group encontrou uma falha (CVSSv3.1: 7.1 Alto – CVE-2023-21414) durante o teste de penetração interno anual solicitado pela Axis Communications. Para os produtos AXIS A8207-VE Mk II, AXIS Q3527-LVE e todos os produtos ARTPEC-8, a proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) no AXIS OS 10.11 – 11.5 contém uma falha que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6. 

Sandro Poppi, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX overlay_del.cgi era vulnerável a ataques de path traversal que permitem a exclusão de arquivos no AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Médio – CVE-2023-21415). A Axis lançou versões corrigidas na trilha ativa 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e na (antiga) trilha LTS 6.50 para produtos ainda sob suporte de software para AXIS OS.

2023-08-03

Diego Giubertoni da Nozomi Networks Inc. encontrou várias falhas (CVSSv3.1: Alta – CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) no aplicativo ACAP AXIS License Plate Verifier. Axis lançou uma versão corrigida do AXIS License Plate Verifier (2.8.4). As versões pré-instaladas do AXIS License Plate Verifier para câmeras de kit estão atualizadas no AXIS OS 10.12 LTS e na trilha 11.5.

2023-07-25

Knud da Fraktal.fi encontrou uma falha em alguns controladores de porta em rede Axis e intercomunicadores em rede Axis na comunicação por OSDP (CVE-2023-21405), destacando que o analisador de mensagens OSDP trava o processo pacsiod e causa uma indisponibilidade temporária das funcionalidades de controle de porta. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

Ariel Harush e Roy Hodir da OTORIO encontraram uma falha no AXIS A1001 na comunicação via OSDP ( CVE-2023-21406). Um estouro de buffer baseado em heap foi encontrado no processo pacsiod que manipula a comunicação OSDP, permitindo a gravação fora do buffer alocado. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

2023-05-08

Alexander Pick, membro do AXIS OS Bug Bounty Program, encontrou uma falha no AXIS OS 11.0.X – 11.3.x (CVE-2023-21404) que não segue as práticas recomendadas de desenvolvimento seguro da Axis. Uma chave RSA estática foi usada para criptografar código-fonte específico da Axis em componentes LUA legados.

2022-11-29

Declaração da Axis Communications sobre as vulnerabilidades descobertas no servidor Web BOA (CVE-2017-9833 e CVE-2021-33558). A Axis utilizava o servidor Web BOA em seus produtos até o firmware 5.65. No entanto, esses produtos não são afetados, pois os componentes de terceiros[1] necessários para explorar as vulnerabilidades não são usados nos produtos Axis. Além disso, proteção adicional é fornecida através da validação de entrada em interfaces API. Os produtos Axis mais recentes com firmware 5.70 e superior utilizam o servidor Web Apache. O servidor Web BOA foi, portanto, removido.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js e /cgi-bin/wapopen não são usados

2022-05-05

Declaração da Axis Communications sobre a Vulnerabilidade do DNS uClibc descoberta pela Nozomi Networks (CVE-2021-43523CVE-2022-30295). A Axis não incorpora o pacote uClibc desde 2010 em seus produtos, softwares e serviços. Até o momento, nenhum produto Axis atualmente oferecido para venda ou descontinuado que ainda esteja sob suporte de hardware ou software é afetado por essa vulnerabilidade, exceto o AXIS P7701 Video Decoder. No momento, estamos aguardando a disponibilidade de um patch para avaliar se podemos fornecer uma versão de serviço que corrija esta vulnerabilidade.

2022-05-04

A Axis reconhece a importância e o trabalho árduo realizado por pesquisadores e empresas independentes e, portanto, lista colaboradores de destaque em nosso novo Hall da Fama da Segurança de Produtos.

2022-03-30

Uma versão atualizada do  Guia de Fortalecimento do AXIS OS, bem como um guia de fortalecimento totalmente novo para  AXIS Camera Station System, foi lançado.

2022-03-16

A equipe de segurança da Axis atualizou a  política de gerenciamento de vulnerabilidades para produtos, software e serviços com o objetivo de fornecer um processo de gerenciamento de vulnerabilidades mais detalhado e abrangente. O Axis Security Notification Service será usado a partir de agora para informar regularmente não apenas sobre vulnerabilidades da Axis, mas também sobre componentes de código aberto de terceiros, como Apache, OpenSSL e outros usados em produtos, software e serviços da Axis.

2022-03-13

Uma versão atualizada do AXIS Security Development Model foi lançada adicionando novos detalhes envolvendo verificação de vulnerabilidades, testes de penetração externa e explicações de extensões de ferramentas para o processo de modelagem de ameaças no desenvolvimento de software de P&D.

2022-03-09

Atualização (CVE-2022-23410). A recomendação de segurança publicada em 14 de fevereiro foi atualizada. A solução inicial fornecida no AXIS IP Utility 4.17.0 para resolver a falha CVE-2022-23410 foi considerada incompleta, portanto, uma nova versão, o AXIS IP Utility 4.18.0, foi lançado para lidar com o problema. Essa nova falha foi encontrada por James Tsz Ko Yeung, de Hong Kong.

2022-02-14

Um pesquisador externo encontrou uma falha ( CVE-2022-23410) no AXIS IP Utility que permite a execução remota de código e o escalonamento de privilégios locais por meio de sequestro de DLL. A vulnerabilidade foi encontrada por SeungYun Lee, da Universidade da Coreia, em Sejong.

2021-12-16

Declaração da Axis Communications sobre a vulnerabilidade Log4j2 (CVE 2021-44228). A investigação sobre a nossa exposição à vulnerabilidade Log4j2 está quase concluída e não encontramos nenhum sistema vulnerável até o momento. Detalhes adicionais estão disponíveis na declaração oficial.  

2021-10-05

Uma equipe de pesquisa externa encontrou várias falhas (CVE-2021-31986,CVE-2021-31987,CVE-2021-31988) em funcionalidades usadas no sistema de eventos integrado de dispositivos compatíveis com o AXIS OS. Todas as vulnerabilidades foram encontradas por Andrea Palanca da Nozomi Network Inc..

2021-08-23

Uma equipe de pesquisa externa encontrou uma falha no manuseio de credenciais de dispositivos armazenadas na RAM pelo AXIS Device Manager, leia a Recomendação de segurança da Axis para obter mais informações. A vulnerabilidade foi descoberta por Ben Leonard-Lagarde e Freddie Sibley-Calder da Modux Limitada.

2020-04-08

A Axis Communications foi aprovada como Autoridade de Numeração (CNA) de Vulnerabilidades e Exposições Comuns (CVE) para produtos Axis, autorizando nossa empresa a atribuir e publicar IDs CVE para vulnerabilidades em nossos produtos. Sebastian Hultqvist, gerente global de produtos da Axis Communications, comentou: “Ser reconhecidos como CNA é uma prova de nosso trabalho contínuo e ressalta as melhores práticas de gerenciamento de vulnerabilidades e segurança da Axis. Leia o comunicado à imprensa completo aqui.

2020-07-31

Uma auditoria interna de segurança de software descobriu uma falha na proteção contra adulteração de dispositivos (conhecida como inicialização segura) no AXIS W800 e no AXIS S3008. Leia a Recomendação de segurança da Axis para obter mais informações.

2020-06-22

Publicação de Observações comuns sobre ferramentas de verificação de segurança para ajudar os clientes a fazer uma análise de risco dos resultados de uma verificação de segurança.

2020-03-19

Uma auditoria interna de segurança de software descobriu uma falha na proteção contra adulteração de dispositivos (conhecida como inicialização segura) na AXIS Q3527-LVE e no AXIS A8207-VE MkII. Leia a Recomendação de segurança da Axis para obter mais informações.

2019-09-23

Um pesquisador descobriu que dispositivos ONVIF que expõem o WS Discovery (porta 3207) à Internet são suscetíveis de serem explorados para ataques Distributed Denial-Of-Service (DDOS). Leia a Recomendação de segurança da Axis para obter mais informações.