Recursos de ciberseguridad

Marinus Pfund, miembro del programa Bug Bounty de AXIS OS, ha encontrado 2 fallos en AXIS OS:
CVE-2024-0067 (CVSSv3.1: 4.3 Medio) que afecta a AXIS OS 8.40 - 11.10. La VAPIX API ledlimit.cgi era vulnerable a ataques de transversalidad de ruta que permitían mostrar nombres de carpetas/archivos en el sistema de archivos local del dispositivo Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Medio) que afecta a AXIS OS 6.50 - 11.11. La VAPIX API alwaysmulti.cgi era vulnerable a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos del dispositivo Axis.

Axis ha publicado parches para estas fallas en las pistas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 y las pistas (antiguas LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software AXIS OS.

51l3nc3, miembro del programa AXIS OS Bug Bounty, ha encontrado 1 falla en AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Medio) que afecta a AXIS OS 6.50 - 11.10. Un parámetro de VAPIX API de ronda de vigilancia permitía el uso de valores arbitrarios que permitían a un atacante bloquear el acceso a la página de configuración de ronda de vigilancia en la interfaz web del dispositivo Axis.

Axis ha publicado parches para este defecto en las pistas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, y las pistas (antiguas LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software para AXIS OS.

Amin Aliakbari, miembro del programa Bug Bounty de AXIS OS, ha encontrado 1 falla en AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Medio) que afecta a AXIS OS 11.11. Un control de acceso roto permitía que cuentas de operador o espectador menos privilegiadas tuvieran más privilegios que los diseñados. El riesgo de explotación es muy bajo, ya que requiere pasos complejos para ejecutarse, incluido el conocimiento de las contraseñas de las cuentas y ataques de ingeniería social para engañar al administrador para que realice configuraciones específicas en cuentas con privilegios de operador y/o espectador.

Axis ha lanzado parches para este defecto en la pista LTS 2024 11.11.

Durante el modelado de amenazas interno de ASDM, Axis encontró 1 falla en AXIS OS:
CVE-2024-7784 (CVSSv3.1: 6.1 Medium) que afecta a los productos Axis ARTPEC-8 que ejecutan AXIS OS 10.9 - 11.11, productos Axis i.MX8 QP que ejecutan AXIS OS 11.11, productos Axis i.MX6 SX, i.MX6 ULL que ejecutan AXIS OS 10.10 - 11.11, productos Axis i.MX8M Mini y i.MX8M Nano UL que ejecutan AXIS OS 11.8 - 11.1. La falla se encontró en la protección contra manipulación de dispositivos (comúnmente conocida como Arranque seguro) en AXIS OS, lo que lo hace vulnerable a un ataque sofisticado para eludir esta protección. Hasta donde Axis sabe, a día de hoy no existen exploits conocidos públicamente y Axis no tiene conocimiento de que esto haya sido explotado.

Axis ha lanzado parches para este defecto en las pistas 12.0 Active, LTS 2024 11.11 y LTS 2022 10.12. Por razones de seguridad, ese parche también aplicará restricciones de retroceso, lo que significa que el producto solo se puede retroceder a la última versión de la pista LTS 2024 11.11 o LTS 2022 10.12, si el producto es compatible con ella. A partir de ese momento, el producto no aceptará otras versiones anteriores o intermedias del sistema operativo AXIS.

Johan Fagerström, participante del programa AXIS OS Bug Bounty, ha encontrado un error (CVE-2024-0066 - CVSSv3.1: 5.3 Medium) en una función de O3C que puede hacer público tráfico confidencial entre el cliente (dispositivo de Axis) y el servidor (O3C). Si no se utiliza O3C, este error no afecta. 

Axis ha publicado un parche para este error en las pistas 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80 y en las pistas (anteriormente LTS) 8.40 y 6.50, así como en la pista de software 5.51 para productos que aún tienen soporte para el software AXIS OS.

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, encontró dos fallos en AXIS OS:

CVE-2024-0054 (CVSSv3.1: 6.5 Medio) que afectaban a AXIS OS 6.50 - 11.8. Las API de VAPIX local_list.cgi, create_overlay.cgi y irissetup.cgi eran vulnerables a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos.

CVE-2024-0055 (CVSSv3.1: 6.5 Medio) que afectaba a AXIS OS 10.12 - 11.8. Las API VAPIX mediaclip.cgi y playclip.cgi eran vulnerables a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos.

Axis ha lanzado parches para estos fallos en 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 y el (anteriormente) LTS 8.40 y 6.50 para los productos que todavía tienen soporte de software para AXIS OS.

Brandon Rothel de QED Secure Solutions ha descubierto que la API VAPIX tcptest.cgi no tenía una validación de entrada suficiente que permitiera una ejecución remota de código posible. Este defecto (CVSSv3.1: 6.3 Media - CVE-2023-5677) solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con privilegios de operador en comparación con las cuentas de servicio con privilegios de administrador. Axis ha lanzado parches para este defecto en la versión de software 5.51 para productos que aún cuentan con soporte de software.

Vintage, miembro del programa AXIS OS Bug Bounty, ha descubierto que la API VAPIX create_overlay.cgi no tenía una validación de entrada suficiente que permitiera una posible ejecución de código remota. Este defecto (CVSSv3.1: 5.4 Media - CVE-2023-5800) solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. 

Axis ha lanzado parches para estos fallos en 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 y las pistas (anteriormente LTS) 8.40 y 6.50 para productos que aún cuentan con soporte de software AXIS OS.

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, encontró tres fallos en AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 10.12 - 11.6. La Axis VAPIX API dynamicoverlay.cgi era vulnerable a un ataque de denegación de servicio que permitía que un atacante bloqueara el acceso a la página de configuración superpuesta en la interfaz web de un dispositivo Axis. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador; sin embargo, el impacto es igual.

CVE-2023-21417 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 8.50 - 11.6. La VAPIX API manageoverlayimage.cgi era vulnerable a ataques transversales de ruta que permitían eliminar archivos o carpetas. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con las cuentas de servicio de operador y se limita a archivos que no pertenecen al sistema, a diferencia de lo que sucede si se tienen privilegios de administrador.

CVE-2023-21418 (CVSSv3.1: 7.1 High) que afecta a AXIS OS 6.50 - 11.6. La VAPIX API irissetup.cgi era vulnerable a ataques transversales de ruta que permitían eliminar archivos. Este fallo solo puede aprovecharse después de autenticarse con una cuenta de servicio con privilegios de operador o administrador. El impacto de aprovechar esta vulnerabilidad es menor con las cuentas de servicio de operador y se limita a archivos que no pertenecen al sistema, a diferencia de lo que sucede si se tienen privilegios de administrador.

Axis ha lanzado parches para estos tres fallos en AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 y el (anteriormente) LTS 6.50 para los productos que todavía tienen soporte de software para AXIS OS.

Durante el modelado interno de amenazas de ASDM se descubrió un fallo (CVSSv3.1: 7.6 Alta - CVE-2023-5553) en la protección contra manipulación de dispositivos (lo que se suele denominar arranque seguro) en productos ARTPEC-8 con AXIS OS 10.8 – 11.5. Como consecuencia, un ataque sofisticado puede eludir la protección. Axis ha lanzado versiones parcheadas en AXIS OS 11.7 Active Track y AXIS OS 10.12 LTS track.

GoSecure en nombre de Genetec Inc. ha encontrado un fallo (CVSSv3.1: 9.1 Crítico - CVE-2023-21413) en AXIS OS 10.5 – 11.5 que permitía la ejecución remota de código durante la instalación de aplicaciones ACAP en el dispositivo Axis. El servicio de manejo de aplicaciones en AXIS OS era vulnerable a la inyección de comandos, lo que permitía a un atacante ejecutar código arbitrario. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6.

NCC Group ha encontrado un fallo (CVSSv3.1: 7.1 Alto - CVE-2023-21414) durante la prueba de penetración interna anual ordenada por Axis Communications. Para AXIS A8207-VE Mk II, AXIS Q3527-LVE y todos los productos ARTPEC-8, la protección contra manipulación de dispositivos (comúnmente conocida como arranque seguro) en AXIS OS 10.11 – 11.5 contiene un fallo que brinda la oportunidad de que un ataque sofisticado evite esta protección. Axis ha lanzado versiones parcheadas en AXIS OS 10.12 LTS y la pista de software 11.6. 

Sandro Poppi, miembro del programa AXIS OS Bug Bounty, descubrió que la API VAPIX overlay_del.cgi era vulnerable a ataques transversales de ruta que permiten la eliminación de archivos en AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Media - CVE-2023-21415). Axis ha lanzado versiones parcheadas en 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 y el (antiguo) LTS 6.50 track para productos que aún cuentan con soporte de software para AXIS OS.

Diego Giubertoni de Nozomi Networks Inc. ha encontrado múltiples fallos (CVSSv3.1: Alto - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) en la aplicación ACAP AXIS License Plate Verifier. Axis ha lanzado una versión parcheada de AXIS License Plate Verifier (2.8.4). Las versiones preinstaladas de AXIS License Plate Verifier para cámaras de kit se actualizan en AXIS OS 10.12 LTS y 11.5 track.

Knud de Fraktal.fi ha encontrado un fallo en algunos Axis Network Door Controllers y Axis Network Intercoms cuando se comunican a través de OSDP (CVE-2023-21405), destacando que el analizador de mensajes OSDP bloquea el proceso de pacsiod, provocando una indisponibilidad temporal de las funcionalidades de control de puertas. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

Ariel Harush y Roy Hodir de OTORIO han encontrado un fallo en AXIS A1001 al comunicarse a través de OSDP (CVE-2023-21406). Se encontró un desbordamiento del búfer basado en pila en el proceso pacsiod que maneja la comunicación OSDP, lo que permite escribir fuera del búfer asignado. Axis ha lanzado una versión parcheada para los dispositivos afectados que aumenta la solidez del analizador de mensajes OSDP y corrige el fallo indicado.

Alexander Pick, miembro del programa AXIS OS Bug Bounty, encontró un fallo en AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) que no sigue las mejores prácticas de desarrollo seguro de Axis. Se utilizó una clave RSA estática para cifrar el código fuente específico de Axis en componentes LUA heredados.

Declaración de Axis Communications sobre las vulnerabilidades descubiertas del servidor web BOA (CVE-2017-9833 y CVE-2021-33558). Axis ha estado utilizando el servidor web BOA en sus productos heredados desde el firmware 5.65 y versiones anteriores. Sin embargo, estos productos no se ven afectados ya que los componentes de terceros[1] necesarios para explotar las vulnerabilidades no se utilizan en los productos de Axis. Además de eso, se proporciona mayor protección realizando la validación de entrada en las interfaces API. Los productos Axis más nuevos con firmware 5.70 y superior utilizan el servidor web Apache y, por lo tanto, se eliminó el servidor web BOA.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js and /cgi-bin/wapopen no se utilizan

Declaración de Axis Communications sobre la Vulnerabilidad DNS de uClibc descubierta por Nozomi Networks ( CVE-2021-43523,CVE-2022-30295). Axis no ha incorporado el paquete uClibc desde 2010 en los productos, software y servicios de Axis. Hasta la fecha, ningún producto de Axis en venta activa o discontinuado que todavía esté bajo soporte de hardware o software se ve afectado por esta vulnerabilidad, excepto el AXIS P7701 Video Decoder. Actualmente estamos esperando la disponibilidad de un parche ascendente para juzgar si podemos proporcionar una versión de servicio que solucione esta vulnerabilidad.

Axis reconoce la importancia y el arduo trabajo realizado por investigadores y empresas independientes y, por lo tanto, enumera a los contribuyentes destacados en nuestro nuevo Salón de la fama de la seguridad del producto.

Se ha presentado una versión actualizada de la Guía de protección de AXIS OS así como una guía de protección completamente nueva para AXIS Camera Station System.

El equipo de seguridad de Axis ha actualizado la política de gestión de vulnerabilidades para productos, software y servicios con el objetivo de proporcionar un proceso de gestión de vulnerabilidades más detallado y completo. El servicio de notificación de seguridad de Axis se utilizará a partir de ahora para informar periódicamente no solo sobre las vulnerabilidades de Axis sino también sobre componentes de código abierto de terceros, como Apache, OpenSSL y otros utilizados en los productos, software y servicios de Axis.