Nur durch die aktive Beteiligung sämtlicher Anbieter innerhalb der Supply Chain sowie der Endnutzerorganisation lassen sich Netzwerk, Geräte und unterstützte Dienste absichern. Axis bietet Tools, Dokumentation und Schulungen, mit deren Hilfe Sie Risiken mindern und Ihre Axis Produkte sowie Dienste auf dem neuesten Stand und geschützt halten können.
Erfahren Sie, wie Axis Cybersicherheitsmaßnahmen unterstützt, die zur Verringerung des Risikos eines Cybervorfalls beitragen.
Lesen Sie in unserem Blogartikel mehr zum Thema Cybersicherheit.
Lassen Sie sich Benachrichtigungen bei Schwachstellen und andere sicherheitsrelevante Informationen schicken.
Entdeckte Schwachstellen verwaltet und beantwortet Axis – auf transparente Weise – unter Einhaltung bewährter Verfahren der Branche.
Marinus Pfund, Mitglied des AXIS OS Bug Bounty Programms, hat 2 Fehler in AXIS OS gefunden:
CVE-2024-0067 (CVSSv3.1: 4.3 Medium) betrifft AXIS OS 8.40 – 11.10. Die VAPIX-API ledlimit.cgi war anfällig für Path-Traversal-Angriffe, die das Auflisten von Ordner-/Dateinamen im lokalen Dateisystem des Axis Geräts ermöglichten.
CVE-2024-6509 (CVSSv3.1: 6.5 Medium) betrifft AXIS OS 6.50 – 11.11. Die VAPIX-API alwaysmulti.cgi war anfällig für File-Globbing, was zur Erschöpfung der Ressourcen des Axis Geräts führen konnte.
Axis hat Patches für diese Fehler in den Tracks LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 und den Tracks 8.40 und 6.50 (ehemals LTS) für Produkte veröffentlicht, die noch von der Software AXIS OS unterstützt werden.
51l3nc3, Mitglied des AXIS OS Bug Bounty-Programms, hat 1 Fehler in AXIS OS gefunden:
CVE-2024-6173 (CVSSv3.1: 6.5 Medium) betrifft AXIS OS 6.50 – 11.10. Ein Guard Tour VAPIX-API-Parameter ermöglichte die Verwendung beliebiger Werte, wodurch ein Angreifer den Zugriff auf die Guard Tour-Konfigurationsseite in der Weboberfläche des Axis Geräts blockieren konnte.
Axis hat Patches für diesen Fehler in den Tracks LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 und den Tracks 8.40 und 6.50 (ehemals LTS) für Produkte veröffentlicht, die noch von der Software AXIS OS unterstützt werden.
Amin Aliakbari, Mitglied des AXIS OS Bug Bounty Program, hat 1 Schwachstelle in AXIS OS gefunden:
CVE-2024-6979 (CVSSv3.1: 6.8 Mittel) betrifft AXIS OS 11.11. Durch eine fehlerhafte Zutrittskontrolle hatten Bediener- und/oder Betrachterkonten mehr Berechtigungen als vorgesehen. Das Risiko einer Ausnutzung ist sehr gering, da die Durchführung komplexe Schritte erfordert, darunter die Kenntnis von Kontokennwörtern und Social-Engineering-Angriffe, um den Administrator dazu zu bringen, bestimmte Konfigurationen auf Konten mit Administrator- und/oder Betrachterberechtigungen durchzuführen.
Axis hat Patches für diesen Fehler im Track LTS 2024 11.11 veröffentlicht.
Bei der internen ASDM-Bedrohungsmodellierung hat Axis 1 Fehler in AXIS OS gefunden:
CVE-2024-7784 (CVSSv3.1: 6.1 Mittel) betrifft Axis ARTPEC-8-Produkte mit AXIS OS 10.9 - 11.11, Axis i.MX8 QP-Produkte mit AXIS OS 11.11, Axis i.MX6 SX, i.MX6 ULL-Produkte mit AXIS OS 10.10 - 11.11, Axis i.MX8M Mini und i.MX8M Nano UL-Produkte mit AXIS OS 11.8 – 11.1. Der Fehler wurde im Schutz vor Gerätemanipulation (allgemein bekannt als Secure Boot) in AXIS OS entdeckt und wodurch es anfällig für einen raffinierten Angriff ist, diesen Schutz zu umgehen. Nach Kenntnis von Axis gibt es bis heute keine öffentlich bekannten Exploits und Axis ist nicht bekannt, dass dieser ausgenutzt wurde.
Axis hat Patches für diesen Fehler in den Tracks 12.0 Active Track, LTS 2024 11.11 und LTS 2022 10.12 veröffentlicht. Aus Sicherheitsgründen erzwingt dieser Patch dann auch Downgrade-Einschränkungen, was bedeutet, dass das Produkt nur dann auf die neueste Version des LTS 2024 11.11- oder LTS 2022 10.12-Tracks heruntergestuft werden kann, wenn das Produkt dies unterstützt. Andere ältere oder Zwischenversionen von AXIS OS werden vom Produkt ab diesem Zeitpunkt nicht mehr akzeptiert.
Johan Fagerström, Mitglied des AXIS OS Bug Bounty Program, hat eine Schwachstelle (CVE-2024-0066 – CVSSv3.1: 5.3 Medium) in einer O3C-Funktion gefunden, die vertraulichen Datenverkehr zwischen Client (Axis Gerät) und (O3C-)Server offenlegen kann. Wenn O3C nicht verwendet wird, tritt diese Schwachstelle nicht auf.
Axis hat über den Active Track 11.10, LTS 2022 10.12, LTS 2020 9.80 und die (ehemaligen) LTS Tracks 8.40 und 6.50 sowie im Software-Track 5.51 für Produkte, für die noch der AXIS OS-Softwaresupport besteht, einen Patch für diese Schwachstelle veröffentlicht.
Sandro Poppi, Mitglied des AXIS OS Bug Bounty Program, hat zwei Schwachstellen in AXIS OS gefunden:
CVE-2024-0054 (CVSSv3.1: 6.5 Mittel) betrifft AXIS OS 6.50 bis 11.8. Die VAPIX-APIs local_list.cgi, create_overlay.cgi und irissetup.cgi waren anfällig für Datei-Globbing, was zu einem Angriff zur Ressourcenerschöpfung führen konnte.
CVE-2024-0055 (CVSSv3.1: 6.5 Mittel) betrifft AXIS OS 10.12 bis 11.8. Die VAPIX-APIs mediaclip.cgi und playclip.cgi waren anfällig für Datei-Globbing, was zu einem Angriff zur Ressourcenerschöpfung führen konnte.
Axis hat über den 11.9 Active Track sowie über die Tracks LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 und die (ehemaligen) Tracks LTS 8.40 und 6.50 Patches für Produkte veröffentlicht, für die noch der AXIS OS-Softwaresupport besteht.
Brandon Rothel von QED Secure Solutions hat herausgefunden, dass die VAPIX-API tcptest.cgi nicht über eine ausreichende Eingabevalidierung verfügt, sodass per Fernzugriff ein Code ausgeführt werden kann. Diese Schwachstelle (CVSSv3.1: 6.3 Medium – CVE-2023-5677) kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Das Ausnutzen dieser Schwachstelle hat bei einem Zugriff von einem Dienstkonto mit Betreiberrechten geringere Auswirkungen als bei einem Dienstkonto mit Administratorrechten. Axis hat für Produkte, für die noch Softwaresupport besteht, im Software-Track 5.51 Patches für diese Schwachstelle veröffentlicht.
Vintage, Mitglied des AXIS OS Bug Bounty Program, hat festgestellt, dass die VAPIX-API create_overlay.cgi nicht über eine ausreichende Eingabevalidierung verfügt, sodass per Fernzugriff ein Code ausgeführt werden kann. Diese Schwachstelle (CVSSv3.1: 5.4 Medium – CVE-2023-5800) kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden.
Axis hat über den 11.8 Active Track sowie über die Tracks LTS 2022 10.12, LTS 2020 9.80 und die (ehemaligen) Tracks LTS 8.40 und 6.50 Patches für Produkte veröffentlicht, für die noch der AXIS OS-Softwaresupport besteht.
Sandro Poppi, Mitglied des AXIS OS Bug Bounty Program, hat drei Schwachstellen in AXIS OS gefunden:
CVE-2023-21416 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 10.12 - 11.6. Die Axis VAPIX-API „dynamicoverlay.cgi“ war anfällig für einen Denial-of-Service-Angriff, bei dem ein Angreifer den Zugriff auf die Konfigurationsseite des Overlay auf der Weboberfläche des Axis Geräts blockieren konnte. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden, wobei die Auswirkungen allerdings gleich sind.
CVE-2023-21417 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 8.50 - 11.6. Die VAPIX-API „manageoverlayimage.cgi” war anfällig für Path-Traversal-Angriffe, bei dem Dateien/Ordnern gelöscht werden können. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Die Ausnutzung dieser Schwachstelle hat bei einem Zugriff mit Betreiberdienstkonten im Vergleich zu einem mit Administratorrechten geringere Auswirkungen und ist auf Nicht-Systemdateien beschränkt.
CVE-2023-21418 (CVSSv3.1: 7.1 Hoch) betrifft AXIS OS 6.50 - 11.6. Die VAPIX-API „irissetup.cgi” war anfällig für Path-Traversal-Angriffe, bei dem Dateien gelöscht werden können. Diese Schwachstelle kann nur nach der Authentifizierung mit einem Dienstkonto mit Betreiber- oder Administratorrechten ausgenutzt werden. Die Ausnutzung dieser Schwachstelle hat bei einem Zugriff mit Betreiberdienstkonten im Vergleich zu einem mit Administratorrechten geringere Auswirkungen und ist auf Nicht-Systemdateien beschränkt.
Axis hat für diese drei Fehler Patches auf dem AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 und dem (ehemaligen) LTS 6.50 Track für Produkte veröffentlicht, die noch von der AXIS OS-Software unterstützt werden.
Bei der internen ASDM-Bedrohungsmodellierung wurde ein Fehler (CVSSv3.1: 7.6 Hoch – CVE-2023-5553) im Schutz vor Gerätemanipulation (allgemein bekannt als Secure Boot) auf ARTPEC-8-Produkten mit AXIS OS 10.8 – 11.5 gefunden, wodurch sich eine Möglichkeit für einen raffinierten Angriff bietet, diesen Schutz zu umgehen. Axis hat gepatchte Versionen auf dem AXIS OS 11.7 Active Track und dem AXIS OS 10.12 LTS Track veröffentlicht.
GoSecure hat im Auftrag von Genetec Inc. einen Fehler gefunden (CVSSv3.1: 9.1 Kritisch – CVE-2023-21413) in AXIS OS 10.5 – 11.5, wodurch während der Installation von ACAP-Anwendungen auf dem Axis Gerät per Fernzugriff ein Code ausgeführt werden konnte. Der Verwaltungsdienst der Anwendung in AXIS OS war anfällig für Befehlsinjektionen, wodurch ein Angreifer einen beliebigen Code ausführen konnte. Axis hat gepatchte Versionen für AXIS OS 10.12 LTS und den Software-Track 11.6 veröffentlicht.
Die NCC Group hat einen Fehler gefunden (CVSSv3.1: 7.1 Hoch – CVE-2023-21414) während des jährlichen internen von Axis Communications angeordneten Penetrationstests. Bei AXIS A8207-VE Mk II, AXIS Q3527-LVE und allen ARTPEC-8-Produkten enthält der Schutz vor Gerätemanipulation (allgemein bekannt als Secure Boot) in AXIS OS 10.11 – 11.5 eine Schwachstelle, wodurch bei einem raffinierten Angriff dieser Schutz umgangen werden kann. Axis hat gepatchte Versionen für AXIS OS 10.12 LTS und den Software-Track 11.6 veröffentlicht.
Sandro Poppi, Mitglied des AXIS OS Bug Bounty Program, hat herausgefunden, dass die VAPIX-API overlay_del.cgi anfällig für Path-Traversal-Angriffe war, wodurch in AXIS OS 6.50 – 11.5 Dateien gelöscht werden konnten (CVSSv3.1: 6.5 Mittel – CVE-2023-21415). Axis hat gepatchte Versionen für Active Track 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 und den (ehemaligen) LTS 6.50 Track für Produkte veröffentlicht, die noch von der Software AXIS OS unterstützt werden.
Diego Giubertoni von Nozomi Networks Inc. hat mehrere Schwachstellen gefunden (CVSSv3.1: Hoch – CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) in der ACAP-Anwendung AXIS License Plate Verifier. Axis hat eine gepatchte Version von AXIS License Plate Verifier (2.8.4) veröffentlicht. Vorinstallierte Versionen von AXIS License Plate Verifier für im Set erhältliche Kameras werden auf dem Track AXIS OS 10.12 LTS und 11.5 aktualisiert.
Knud von Fraktal.fi hat einen Fehler in einigen Axis Network Door Controllern und Axis Network Intercoms bei der Kommunikation über OSDP gefunden (CVE-2023-21405), was darauf hinweist, dass der OSDP-Nachrichtenparser den Pacsiod-Prozess zum Absturz bringt, was zu einer vorübergehenden Nichtverfügbarkeit der Türsteuerungsfunktionen führt. Axis hat eine gepatchte Version für betroffene Geräte veröffentlicht, die die Robustheit des OSDP-Nachrichtenparsers erhöht und den hervorgehobenen Fehler behebt.
Ariel Harush und Roy Hodir von OTORIO haben einen Fehler im AXIS A1001 bei der Kommunikation über OSDP gefunden (CVE-2023-21406). Im Pacsiod-Prozess, der die OSDP-Kommunikation verarbeitet, wurde ein Heap-basierter Pufferüberlauf gefunden, wodurch außerhalb des zugewiesenen Puffers geschrieben werden konnte. Axis hat eine gepatchte Version für betroffene Geräte veröffentlicht, die die Robustheit des OSDP-Nachrichtenparsers erhöht und den hervorgehobenen Fehler behebt.
Alexander Pick, Mitglied des AXIS OS Bug Bounty Program, hat eine Schwachstelle in AXIS OS 11.0.X – 11.3.x gefunden (CVE-2023-21404), die nicht dem bewährten Verfahren für sichere Entwicklung von Axis folgt. Ein statischer RSA-Schlüssel wurde verwendet, um Axis spezifischen Quellcode in älteren LUA-Komponenten zu verschlüsseln.
Stellungnahme von Axis Communications zu den entdeckten Schwachstellen beim BOA-Webserver (CVE-2017-9833 und CVE-2021-33558). Axis verwendet den BOA-Webserver in seinen älteren Produkten ab Firmware 5.65 und niedriger. Diese Produkte sind jedoch nicht betroffen, da die zur Ausnutzung der Schwachstellen erforderlichen Komponenten von Drittanbietern[1] in Axis Produkten darin nicht verwendet werden. Darüber hinaus wird durch die Eingabevalidierung auf API-Schnittstellen weiterer Schutz geboten. Neuere Axis Produkte mit Firmware 5.70 und höher nutzen den Apache-Webserver, und der BOA-Webserver wurde daher entfernt.
[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen werden nicht verwendet
Stellungnahem von Axis Communications zur von Nozomi Networks entdeckte uClibc-DNS-Schwachstelle (CVE-2021-43523, CVE-2022-30295). Axis integriert das uClibc-Paket seit 2010 nicht mehr in Axis Produkte, Software und Dienste. Daher ist bis heute kein aktiv verkauftes oder eingestelltes Axis Produkt, für das noch Hardware- oder Softwaresupport besteht, von dieser Sicherheitslücke betroffen, mit Ausnahme des AXIS P7701 Video Decoder. Derzeit warten wir auf die Verfügbarkeit eines Upstream-Patches, um beurteilen zu können, ob wir ein Servicerelease zur Schließung dieser Schwachstelle bereitstellen können.
Axis erkennt die Bedeutung und die harte Arbeit unabhängiger Forscher sowie Unternehmen an und führt daher im neuen Beitrag herausragende Mitwirkende in der neuen Hall of Fame für Produktsicherheit auf.
Eine aktualisierte Version der Anleitung zur Härtung von AXIS OS sowie eine völlig neue Anleitung zur Härtung des AXIS Camera Station Systems wurde veröffentlicht.
Mit der Veröffentlichung der aktualisierten Richtlinie zum Schwachstellenmanagement für Produkte, Software und Dienste möchte das Axis Sicherheitsteam einen detaillierteren und umfassenderen Prozess zum Schwachstellenmanagement bereitstellen. Der Axis Security Notification Service dient von nun an nicht nur der regelmäßigen Weitergabe von Informationen zu Schwachstellen von Axis, sondern auch von Open-Source-Komponenten von Drittanbietern wie Apache, OpenSSL und andere, die in Produkten, Software und Diensten von Axis verwendet werden.