Proteger uma rede, seus dispositivos e os serviços que ela oferece requer a participação ativa de toda a cadeia de suprimentos do fornecedor, bem como da organização do usuário final. A Axis fornece ferramentas, documentação e treinamento para ajudar você a mitigar riscos e manter seus produtos e serviços Axis atualizados e protegidos.

Recursos em destaque

cybersec axis office

Segurança cibernética da Axis

Saiba como a Axis oferece suporte a medidas de segurança cibernética que ajudam você a reduzir o risco de um incidente cibernético.

Women working laptop

Percepções sobre segurança

Leia artigos sobre segurança cibernética em nosso blog.

hand fingers email icons

Notificações de segurança

Receba notificações sobre vulnerabilidades e outras informações relacionadas à segurança.

women screen man office

Gerenciamento de vulnerabilidades

A Axis segue as práticas recomendadas do setor para gerenciar e responder – com transparência – às vulnerabilidades descobertas.

Feed de notificações de segurança da Axis

2024-11-26

AXIS OS

Erik de Jong, membro do AXIS OS Bug Bounty Program, encontrou 1 falha no AXIS OS:

CVE-2024-8160 (CVSSv3.1: 3.8 Baixo) afetando o AXIS OS 10.9 - 12.0. A API VAPIX ftptest.cgi não tinha uma validação de entrada suficiente permitindo uma possível injeção de comando que permitisse transferir arquivos de/para o dispositivo Axis. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de administrador.

51l3nc3, membro do AXIS OS Bug Bounty Program, encontrou 1 falha no AXIS OS:

CVE-2024-8772 (CVSSv3.1: 4.3 médio) afetando o AXIS OS 9.80 - 12.0. A API VAPIX managedoverlayimages.cgi estava vulnerável a um ataque de condição de corrida, permitindo que um invasor bloqueasse o acesso à página de configuração de sobreposição na interface Web do dispositivo Axis. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador.

Florent Thiéry encontrou 1 falha no AXIS OS:

CVE-2024-47257 (CVSSv3.1: 7.5 (Alto) afetando o AXIS OS 6.50. Dispositivos Axis selecionados eram vulneráveis ao manuseio de determinados quadros Ethernet, o que poderia fazer com que o dispositivo Axis se tornasse indisponível na rede.

A Axis lançou patches para essas falhas no 12.1 Active Track, LTS 2024 11.11, LTS 2022 10.12 e para CVE-2024-8772 também no LTS 2020 9.80. Para CVE-2024-47257, um patch é fornecido no (antigo LTS) 6.50 para produtos que ainda estão sob o suporte de software AXIS OS.

AXIS Camera Station Pro

Seth Fogie, membro do AXIS Camera Station Pro Bug Bounty Program, encontrou 2 falhas no AXIS Camera Station Pro e no AXIS Camera Station 5:

CVE-2024-6831 (CVSSv3.1: 4.4 Médio) afetando o AXIS Camera Station Pro <6.4 e o AXIS Camera Station <5.57.33556. Era possível editar e/ou remover visualizações sem a permissão necessária devido a uma verificação somente do lado do cliente.

CVE-2024-6749 (CVSSv3.1: 6.3 Médio) afetando o AXIS Camera Station Pro 6.0 – 6.3 e o AXIS Camera Station 5.25 – 5.57.27610. O recurso de relatório de incidente pode expor credenciais confidenciais no cliente Windows do AXIS Camera Station. Se o relatório de incidente não estiver sendo usado com credenciais configuradas, essa falha não se aplicará.

Gee-netics, membro do AXIS Camera Station Pro Bug Bounty Program, descobriu que é possível que um usuário não administrador obtenha privilégios de sistema redirecionando a exclusão de um arquivo após a reinicialização do serviço.

CVE-2024-6476 (CVSSv3.1: 4.2 Médio) afetando o AXIS Camera Station Pro <6.4 e o AXIS Camera Station <5.57.33556. 

A Axis lançou patches para essas falhas tanto para o AXIS Camera Station Pro quanto para o AXIS Camera Station 5.

2024-09-10

Marinus Pfund, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou duas falhas no AXIS OS:
CVE-2024-0067 (CVSSv3.1: 4.3 Médio) afetando o AXIS OS 8.40 - 11.10. A API VAPIX ledlimit.cgi era vulnerável a ataques de traversal de caminho, permitindo listar nomes de pastas/arquivos no sistema de arquivos local do dispositivo Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 - 11.11. A API VAPIX alwaysmulti.cgi era vulnerável ao globbing de arquivos, o que poderia levar ao esgotamento de recursos do dispositivo Axis.

A Axis lançou patches para essas falhas nas faixas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e nas faixas (antigas LTS) 8.40 e 6.50 para produtos ainda com suporte de software do AXIS OS.

51l3nc3, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou 1 falha no AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 - 11.10. Um parâmetro da API VAPIX do Guard Tour permitia o uso de valores arbitrários, permitindo que um invasor bloqueasse o acesso à página de configuração do Guard Tour na interface web do dispositivo Axis.

A Axis lançou patches para essa falha nas faixas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80 e nas faixas (antiga LTS) 8.40 e 6.50 para produtos ainda sob suporte de software para AXIS OS.

Amin Aliakbari, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou 1 falha no AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Médio) afetando o AXIS OS 11.11. Um controle de acesso comprometido permitiu que contas de operadores e/ou visualizadores menos privilegiados tivessem mais privilégios do que o projetado. O risco de exploração é muito baixo, pois requer etapas complexas para ser executada, incluindo o conhecimento de senhas de contas e ataques de engenharia social para enganar o administrador e fazê-lo executar configurações específicas em contas com privilégios de operador e/ou visualizador.

A Axis lançou patches para essa falha na faixa LTS 2024 11.11.

Durante a modelagem interna de ameaças do ASDM, a Axis encontrou 1 falha no AXIS OS:
CVE-2024-7784 (CVSSv3.1: 6.1 Médio) afetando produtos Axis ARTPEC-8 que executam o AXIS OS 10.9 - 11.11, produtos Axis i.MX8 QP que executam o AXIS OS 11.11, produtos Axis i.MX6 SX, i.MX6 ULL que executam o AXIS OS 10.10 - 11.11, produtos Axis i.MX8M Mini e i.MX8M Nano UL executando o AXIS OS 11.8 - 11.1. A falha foi encontrada na proteção contra adulteração de dispositivos (comumente conhecida como Secure Boot) no AXIS OS, tornando-o vulnerável a um ataque sofisticado para contornar essa proteção. Até onde a Axis sabe, não há exploits conhecidos publicamente até hoje e a Axis não tem conhecimento de que isso tenha sido explorado.

A Axis lançou patches para essa falha nas versões 12.0 Active Track, LTS 2024 11.11 e LTS 2022 10.12. Por motivos de segurança, esse patch também aplicará restrições de downgrade, o que significa que o produto só poderá fazer downgrade para a versão mais recente da faixa LTS 2024 11.11 ou LTS 2022 10.12, se o produto tiver suporte para ela. Outras versões mais antigas ou intermediárias do AXIS OS não serão aceitas pelo produto a partir de então.

2024-06-18

Johan Fagerström, membro do AXIS OS Bug Bounty Program, encontrou uma falha (CVE-2024-0066 - CVSSv3.1: 5.3 Médio) em um recurso O3C que pode expor tráfego confidencial entre o cliente (dispositivo Axis) e o servidor (O3C). Se o O3C não estiver sendo usado, essa falha não se aplica. 

A Axis lançou um patch para essa falha no 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80 e nas trilhas (antigo LTS) 8.40 e 6.50, bem como na trilha de software 5.51 para produtos ainda com suporte de software AXIS OS.

2024-03-19

Sandro Poppi, membro do AXIS OS Bug Bounty Program, encontrou 2 falhas no AXIS OS:

CVE-2024-0054 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 – 11.8. As APIs VAPIX local_list.cgi, create_overlay.cgi e irissetup.cgi eram vulneráveis ao globbing de arquivos, o que poderia levar a um ataque de esgotamento de recursos

CVE-2024-0055 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 10.12 – 11.8. As APIs VAPIX mediaclip.cgi e playclip.cgi eram vulneráveis ao globbing de arquivos, o que poderia levar a um ataque de esgotamento de recursos.

A Axis lançou patches para essas três falhas no 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e as (antigas) faixas LTS 8.40 e 6.50 para produtos ainda com suporte de software AXIS OS.

2024-02-05

Brandon Rothel, da QED Secure Solutions, descobriu que a API VAPIX tcptest.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 6.3 Média - CVE-2023-5677) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas com privilégios de operador em comparação com contas de serviço com privilégios de administrador. A Axis lançou patches para esta falha na faixa de software 5.51 para produtos ainda sob suporte de software.

Vintage, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX create_overlay.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 5.4 Média - CVE-2023-5800) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. 

A Axis lançou patches para essas falhas nas faixas 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 e nas faixas (antiga LTS) 8.40 e 6.50 para produtos ainda sob suporte de software para AXIS OS.

2023-11-21

Sandro Poppi, membro do AXIS OS Bug Bounty Program, encontrou 3 falhas no AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 10.12 – 11.6. A API Axis VAPIX dynamicoverlay.cgi era vulnerável a um ataque de negação de serviços, permitindo que um invasor bloqueasse o acesso à página de configuração de sobreposição na interface Web do dispositivo Axis. Esta falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador, mas o impacto é igual.

CVE-2023-21417 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 8.50 – 11.6. A API VAPIX manageroverlayimage.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos/pastas. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador. 

CVE-2023-21418 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 6.50 – 11.6. A API VAPIX irissetup.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador. 

A Axis lançou patches para essas três falhas no AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e a (antiga) faixa LTS 6.50 para produtos ainda com suporte de software AXIS OS.

Durante a modelagem de ameaças ASDM interna, uma falha (CVSSv3.1: 7.6 Alto – CVE-2023-5553) foi encontrada na proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) em produtos ARTPEC-8 que executam o AXIS OS 10.8 – 11.5, o que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 11.7 Active Track e no AXIS OS 10.12 LTS track.

2023-10-16

A GoSecure em nome da Genetec Inc. encontrou uma falha (CVSSv3.1: 9.1 Crítica – CVE-2023-21413) no AXIS OS 10.5 – 11.5 que permitia a execução remota de código durante a instalação de aplicativos ACAP no dispositivo Axis. O serviço de manipulação de aplicativos no AXIS OS era vulnerável à injeção de comandos, permitindo que um invasor executasse código arbitrário. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6.

O NCC Group encontrou uma falha (CVSSv3.1: 7.1 Alto – CVE-2023-21414) durante o teste de penetração interno anual solicitado pela Axis Communications. Para os produtos AXIS A8207-VE Mk II, AXIS Q3527-LVE e todos os produtos ARTPEC-8, a proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) no AXIS OS 10.11 – 11.5 contém uma falha que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6. 

Sandro Poppi, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX overlay_del.cgi era vulnerável a ataques de path traversal que permitem a exclusão de arquivos no AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Médio – CVE-2023-21415). A Axis lançou versões corrigidas na trilha ativa 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e na (antiga) trilha LTS 6.50 para produtos ainda sob suporte de software para AXIS OS.

2023-08-03

Diego Giubertoni da Nozomi Networks Inc. encontrou várias falhas (CVSSv3.1: Alta – CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) no aplicativo ACAP AXIS License Plate Verifier. Axis lançou uma versão corrigida do AXIS License Plate Verifier (2.8.4). As versões pré-instaladas do AXIS License Plate Verifier para câmeras de kit estão atualizadas no AXIS OS 10.12 LTS e na trilha 11.5.

2023-07-25

Knud da Fraktal.fi encontrou uma falha em alguns controladores de porta em rede Axis e intercomunicadores em rede Axis na comunicação por OSDP (CVE-2023-21405), destacando que o analisador de mensagens OSDP trava o processo pacsiod e causa uma indisponibilidade temporária das funcionalidades de controle de porta. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

Ariel Harush e Roy Hodir da OTORIO encontraram uma falha no AXIS A1001 na comunicação via OSDP (CVE-2023-21406). Um estouro de buffer baseado em heap foi encontrado no processo pacsiod que manipula a comunicação OSDP, permitindo a gravação fora do buffer alocado. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

2023-05-08

Alexander Pick, membro do AXIS OS Bug Bounty Program, encontrou uma falha no AXIS OS 11.0.X – 11.3.x (CVE-2023-21404) que não segue as práticas recomendadas de desenvolvimento seguro da Axis. Uma chave RSA estática foi usada para criptografar código-fonte específico da Axis em componentes LUA legados.

2022-11-29

Declaração da Axis Communications sobre as vulnerabilidades descobertas no servidor Web BOA (CVE-2017-9833 e CVE-2021-33558). A Axis utilizava o servidor Web BOA em seus produtos até o firmware 5.65. No entanto, esses produtos não são afetados, pois os componentes de terceiros[1] necessários para explorar as vulnerabilidades não são usados nos produtos Axis. Além disso, proteção adicional é fornecida através da validação de entrada em interfaces API. Os produtos Axis mais recentes com firmware 5.70 e superior utilizam o servidor Web Apache. O servidor Web BOA foi, portanto, removido.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js e /cgi-bin/wapopen não são usados

2022-05-05

Declaração da Axis Communications sobre a Vulnerabilidade do DNS uClibc descoberta pela Nozomi Networks (CVE-2021-43523CVE-2022-30295). A Axis não incorpora o pacote uClibc desde 2010 em seus produtos, softwares e serviços. Até o momento, nenhum produto Axis atualmente oferecido para venda ou descontinuado que ainda esteja sob suporte de hardware ou software é afetado por essa vulnerabilidade, exceto o AXIS P7701 Video Decoder. No momento, estamos aguardando a disponibilidade de um patch para avaliar se podemos fornecer uma versão de serviço que corrija esta vulnerabilidade.

2022-05-04

A Axis reconhece a importância e o trabalho árduo realizado por pesquisadores e empresas independentes e, portanto, lista colaboradores de destaque em nosso novo Hall da Fama da Segurança de Produtos.

2022-03-30

Uma versão atualizada do Guia de Fortalecimento do AXIS OS, bem como um guia de fortalecimento totalmente novo para AXIS Camera Station System, foi lançado.

2022-03-16

A equipe de segurança da Axis atualizou a política de gerenciamento de vulnerabilidades para produtos, software e serviços com o objetivo de fornecer um processo de gerenciamento de vulnerabilidades mais detalhado e abrangente. O Axis Security Notification Service será usado a partir de agora para informar regularmente não apenas sobre vulnerabilidades da Axis, mas também sobre componentes de código aberto de terceiros, como Apache, OpenSSL e outros usados em produtos, software e serviços da Axis.

2022-03-13

Uma versão atualizada do AXIS Security Development Model foi lançada adicionando novos detalhes envolvendo verificação de vulnerabilidades, testes de penetração externa e explicações de extensões de ferramentas para o processo de modelagem de ameaças no desenvolvimento de software de P&D.

2022-03-09

Atualização (CVE-2022-23410). A recomendação de segurança publicada em 14 de fevereiro foi atualizada. A solução inicial fornecida no AXIS IP Utility 4.17.0 para resolver a falha CVE-2022-23410 foi considerada incompleta, portanto, uma nova versão, o AXIS IP Utility 4.18.0, foi lançado para lidar com o problema. Essa nova falha foi encontrada por James Tsz Ko Yeung, de Hong Kong.

2022-02-14

Um pesquisador externo encontrou uma falha (CVE-2022-23410) no AXIS IP Utility que permite a execução remota de código e o escalonamento de privilégios locais por meio de sequestro de DLL. A vulnerabilidade foi encontrada por SeungYun Lee, da Universidade da Coreia, em Sejong.

2021-12-16

Declaração da Axis Communications sobre a vulnerabilidade Log4j2 (CVE 2021-44228). A investigação sobre a nossa exposição à vulnerabilidade Log4j2 está quase concluída e não encontramos nenhum sistema vulnerável até o momento. Detalhes adicionais estão disponíveis na declaração oficial

2021-10-05

Uma equipe de pesquisa externa encontrou várias falhas (CVE-2021-31986CVE-2021-31987CVE-2021-31988) em funcionalidades usadas no sistema de eventos integrado de dispositivos compatíveis com o AXIS OS. Todas as vulnerabilidades foram encontradas por Andrea Palanca da Nozomi Network Inc..

2021-08-23

Uma equipe de pesquisa externa encontrou uma falha no manuseio de credenciais de dispositivos armazenadas na RAM pelo AXIS Device Manager, leia a Recomendação de segurança da Axis para obter mais informações. A vulnerabilidade foi descoberta por Ben Leonard-Lagarde e Freddie Sibley-Calder da Modux Limitada.

2020-04-08

A Axis Communications foi aprovada como Autoridade de Numeração (CNA) de Vulnerabilidades e Exposições Comuns (CVE) para produtos Axis, autorizando nossa empresa a atribuir e publicar IDs CVE para vulnerabilidades em nossos produtos. Sebastian Hultqvist, gerente global de produtos da Axis Communications, comentou: “Ser reconhecidos como CNA é uma prova de nosso trabalho contínuo e ressalta as melhores práticas de gerenciamento de vulnerabilidades e segurança da Axis.

2020-07-31

Uma auditoria interna de segurança de software descobriu uma falha na proteção contra adulteração de dispositivos (conhecida como inicialização segura) no AXIS W800 e no AXIS S3008. Leia a Recomendação de segurança da Axis para obter mais informações.

2020-06-22

Publicação de Observações comuns sobre ferramentas de verificação de segurança para ajudar os clientes a fazer uma análise de risco dos resultados de uma verificação de segurança.

2020-03-19

Uma auditoria interna de segurança de software descobriu uma falha na proteção contra violação de dispositivos (conhecida como inicialização segura) na AXIS Q3527-LVE e no AXIS A8207-VE MkII. Leia a Recomendação de segurança da Axis para obter mais informações.

2019-09-23

Um pesquisador descobriu que dispositivos ONVIF que expõem o WS Discovery (porta 3207) à Internet são suscetíveis de serem explorados para ataques Distributed Denial-Of-Service (DDOS). Leia a Recomendação de segurança da Axis para obter mais informações.