サイバーセキュリティリソース

AXIS OS Bug Bounty Programのメンバー、Marinus Pfund氏はAXIS OSに2つの欠陥を発見しました。
CVE-2024-0067 (CVSSv3.1: 4.3 Medium) 対象はAXIS OS 8.40 - 11.10。 VAPIX API ledlimit.cgiは、パストラバーサル攻撃に対して脆弱であり、Axis装置のローカルファイルシステム上のフォルダー/ファイル名を一覧表示できます。
CVE-2024-6509 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 6.50 - 11.11。 VAPIX API alwaysmulti.cgiはファイルグロビングに対して脆弱であり、Axis装置のリソースの枯渇につながる可能性があります。

Axisは、まだAXIS OSソフトウェアサポートが適用される製品向けに、LTS 2024 11.11、LTS 2022 10.12、LTS 2020 9.80、LTS 2020 9.80トラックおよび (旧LTS) 8.40および6.50トラックでこれらの欠陥に対するパッチをリリースしました。

AXIS OSバグバウンティプログラムのメンバーである51l3nc3は、AXIS OSに1つの欠陥を発見しました:
CVE-2024-6173 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 6.50 - 11.10。 Guard Tour VAPIX APIパラメータにより任意の値が使用可能となり、攻撃者がAxis装置のWebインターフェースにあるガードツアー設定ページへのアクセスをブロックできるようになります。

Axisは、LTS 2024 11.11、LTS 2022 10.12、LTS 2020 9.80、LTS 2020 9.80トラック、およびAXIS OSソフトウェアサポートが引き続き提供されている製品向けの (旧LTS) 8.40および6.50トラックで、この脆弱性に対するパッチをリリースしました。

AXIS OSバグバウンティプログラムのメンバーであるAmin Aliakbariが、AXIS OSに1つの欠陥を発見しました:
CVE-2024-6979 (CVSSv3.1: 6.8 Medium) 対象はAXIS OS 11.11。 アクセス制御が不完全だったため、権限の低いオペレーターアカウントや閲覧者アカウントに、設計よりも多くの権限が付与されていました。 アカウントのパスワードを知っていることや、管理者をだましてオペレーターおよび/または閲覧者の特権アカウントで特定の設定を行わせるソーシャルエンジニアリング攻撃など、実行するには複雑な手順が必要であるため、悪用されるリスクは非常に低いです。

Axisは、LTS 2024 11.11トラックでこの欠陥に対するパッチをリリースしました。

内部ASDM脅威モデリング中に、AxisはAXIS OSに1つの欠陥を発見しました:
CVE-2024-7784 (CVSSv3.1: 6.1 Medium) 対象はAXIS OS 10.9 - 11.11を実行しているAxis ARTPEC-8製品、AXIS OS 11.11を実行しているAxis i.MX8 QP製品、AXIS OS 10.10 - 11.11を実行しているAxis i.MX6 SX、i.MX6製品、AXIS OS 11.8 - 11.1を実行しているAxis i.MX8M Mini、i.MX8M Nano UL製品。 この欠陥は、AXIS OSの装置改ざん防止機能 (一般的にセキュアブートとして知られている) に発見され、この保護を回避する高度な攻撃に対して脆弱性があることが判明しました。 Axisの知る限り、現時点では既知のエクスプロイトは公開されておらず、Axisはこれが悪用されたことを認識していません。

Axisは、12.0 Active Track、LTS 2024 11.11、およびLTS 2022 10.12トラックでこの欠陥に対するパッチをリリースしました。 セキュリティ上の理由から、このパッチはダウングレード制限も適用されます。つまり、製品がサポートされている場合、製品はLTS 2024 11.11またはLTS 2022 10.12トラックの最新バージョンにのみダウングレードできます。 それ以降、他の古いまたは中間のAXIS OSバージョンは製品で受け入れられなくなります。

AXIS OS Bug Bounty Programのメンバー、Johan Fagerström氏がO3C機能にある欠陥 (CVE-2024-0066 - CVSSv3.1: 5.3中) を発見しました。この欠陥により、クライアント (Axis装置) と (O3C) サーバー間の機密トラフィックが公開される可能性があります。 O3Cを使用していない場合、この欠陥は適用されません。

Axisは、11.10 Active Track、LTS 2022 10.12、LTS 2020 9.80、および (旧LTS) 8.40および6.50トラック、ならびにAXIS OSソフトウェアサポートが継続されている製品の5.51ソフトウェアトラックで、この欠陥に対するパッチをリリースしました。

AXIS OS Bug Bounty Programのメンバー、Sandro Poppi氏はAXIS OSにある2つの欠陥を発見しました。

CVE-2024-0054 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 6.50～11.8。VAPIX APIs local_list.cgi、create_overlay.cgi、およびirissetup.cgiにはファイルグロビングの脆弱性があり、リソース枯渇攻撃につながる可能性があります。

CVE-2024-0055 (CVSSv3.1: 6.5 Medium) 対象はAXIS OS 10.12～11.8。VAPIX APIs mediaclip.cgiとplayclip.cgiにはファイルのグロビングに対して脆弱があり、リソース枯渇攻撃につながる可能性があります。

Axisは、11.9 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2020 9.80、(旧LTS) 8.40および6.50トラックで、AXIS OSソフトウェアのサポートが継続されている製品に対して、これらの欠陥に対応するパッチをリリースしました。

QED Secure SolutionsのBrandon Rothel氏により、VAPIX API tcptest.cgiにリモートコード実行の可能性を考慮した十分な入力検証がされていないことが発見されました。 この欠陥 (CVSSv3.1: 6.3 Medium - CVE-2023-5677) は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り悪用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーター権限のサービスアカウントではローインパクトです。 Axisは、5.51ソフトウェアトラックにおいて、ソフトウェアサポート中の製品向けにこの欠陥に対するパッチをリリースしました。

AXIS OS Bug Bounty ProgramのメンバーであるVintageにより、VAPIX API create_overlay.cgiにリモートコード実行の可能性を考慮した十分な入力検証がされていないことが発見されました。 この欠陥 (CVSSv3.1: 5.4 Medium - CVE-2023-5800) は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り悪用される可能性があります。 

Axisは、AXIS OSソフトウェアサポート期間中の製品向けに、11.8 Active Track、LTS 2022 10.12、LTS 2020 9.80、(以前のLTS) 8.40 および6.50トラックのこれらの欠陥に対するパッチをリリースしました。

AXIS OS Bug Bounty Programのメンバー、Sandro Poppi氏はAXIS OSに3つの欠陥を発見しました。
CVE-2023-21416 (CVSSv3.1: 7.1 High)、対象はAXIS OS 10.12 - 11.6。 Axis VAPIX API dynamicoverlay.cgiに、Denial-of-Service攻撃に対する脆弱性があり、AxisデバイスのWebインターフェース上でオーバーレイ設定ページへのアクセスを攻撃者がブロックすることが可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性がありますが、影響は同等です。

CVE-2023-21417 (CVSSv3.1: 7.1 High)、対象はAXIS OS 8.50 - 11.6。 VAPIX API manageoverlayimage.cgiに、パストラバーサル攻撃に対する脆弱性があり、ファイル/フォルダーの削除が可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーターのサービスアカウントではローインパクトです。

CVE-2023-21418 (CVSSv3.1: 7.1 High)、対象はAXIS OS 6.50 - 11.6。 The VAPIX API irissetup.cgiに、パストラバーサル攻撃に対する脆弱性があり、ファイル/フォルダーの削除が可能でした。 この欠陥は、オペレーターまたは管理者特権のサービスアカウントで認証した後に限り利用される可能性があります。 この脆弱性の悪用による影響の対象は非システムファイルに限定されており、管理者権限のアカウントに比べてオペレーターのサービスアカウントではローインパクトです。

Axisは、AXIS OS 11.7 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2018 8.40、および現在もAXIS OSソフトウェアがサポートされている製品向けの (旧) LTS 6.50トラックでこの3つの欠陥に対応するパッチをリリースしました。

社内のASDM脅威モデリングで、AXIS OS 10.8 – 11.5を実行するARTPEC-8製品のデバイスの改竄に対する防御 (いわゆるセキュアブート) に欠陥 (CVSSv3.1: 7.6 High - CVE-2023-5553) が見つかりました。この欠陥を悪用した高度な攻撃が保護機能をバイパスする可能性があります。 Axisは、AXIS OS 11.7 Active TrackおよびAXIS OS 10.12 LTS Trackのパッチ適用バージョンをリリースしました。

Genetec Inc.に代わってGoSecureにより、Axis OS 10.5 - 11.5において、Axis装置へのACAPアプリケーションのインストール中にリモートでコードが実行される可能性がある欠陥 (CVSSv3.1: 9.1 Critical - CVE-2023-21413) が発見されました。 Axis OSのアプリケーション処理サービスには、攻撃者が任意のコードを実行できるコマンドインジェクションの脆弱性がありました。 Axisは、AXIS OS 10.12 LTSおよび11.6ソフトウェアトラックにパッチを適用したバージョンをリリースしました。

Axis Communicationsが毎年実施している内部侵入テストにおいて、NCCグループが欠陥 (CVSSv3.1: 7.1 High - CVE-2023-21414) を発見しました。 AXIS A8207-VE Mk II、AXIS Q3527-LVE、およびすべてのARTPEC-8製品において、AXIS OS 10.11 – 11.5の、装置に対するいたずら防止機能 (一般にセキュアブートとして知られています) に欠陥があり、高度な攻撃によりこの保護機能がバイパスされる可能性があります。 Axisは、AXIS OS 10.12 LTSおよび11.6ソフトウェアトラックにパッチを適用したバージョンをリリースしました。 

AXIS OS Bug Bounty ProgramのメンバーであるSandro Poppi氏によりは、Axis OS 6.50 - 11.5において、VAPIX API overlay_del.cgiにファイルの削除を可能にするパストラバーサル攻撃に脆弱であることが発見されました (CVSSv3.1: 6.5 Medium - CVE-2023-21415)。 Axisは、11.6 Active Track、LTS 2022 10.12、LTS 2020 9.80、LTS 2018 8.40、および (旧) LTS 6.50トラックで、現在もAXIS OSソフトウェアがサポートされている製品向けにパッチ適用済みのバージョンをリリースしました。

Nozomi Networks Inc.のDiego Giubertoni氏により、Axis License Plate Verifier ACAPアプリケーションに複数の欠陥 (CVSSv3.1: High - CVE-2023-21407、CVE-2023-21408、CVE-2023-21409、CVE-2023-21410、CVE-2023-21411、CVE-2023-21412) が発見されました。 Axisは、AXIS License Plate Verifier (2.8.4) のパッチ適用済みバージョンをリリースしました。 キットカメラ用のAXIS License Plate Verifierのプリインストールバージョンは、AXIS OS 10.12 LTSおよび11.5トラックで更新されます。

Fraktal.fiのKnud氏により、OSDP (CVE-2023-21405) 経由で通信している一部のAxisネットワークドアコントローラーとAxisネットワークインターコムに、OSDPメッセージパーサーによってpacsiodプロセスがクラッシュし、ドア制御機能が一時的に使用できなくなる欠陥が発見されました。 Axisは、影響を受ける装置向けに、OSDPメッセージパーサーの堅牢性を高めて見つかった欠陥を修正する、パッチ適用済みのバージョンをリリースしました。

OTORIOのAriel Harush氏とRoy Hodir氏により、Axis A1001でOSDP (CVE-2023-21406) を介して通信する際の欠陥が発見されました。 OSDP通信を処理するpacsiodプロセスに、割り当てられたバッファの外への書き込みを可能にする、ヒープベースのバッファオーバーフローが見つかりました。 Axisは、影響を受ける装置向けに、OSDPメッセージパーサーの堅牢性を高めて見つかった欠陥を修正する、パッチ適用済みのバージョンをリリースしました。

AXIS OS Bug Bounty ProgramのメンバーであるAlexander Pick氏により、AXIS OS 11.0.X - 11.3.x (CVE-2023-21404) において、Axisの安全な開発のベストプラクティスに従っていない欠陥が発見されました。 静的RSAキーが、レガシーLUAコンポーネントのAxis固有のソースコードを暗号化するために使用されていました。

発見されたBOAウェブサーバーの脆弱性 (CVE-2017-9833とCVE-2021-33558) に関するAxis Communicationsの声明。 Axisは、ファームウェア5.65以前のレガシー製品でBOAウェブサーバーを使用してきました。 しかし、脆弱性を悪用するために必要なサードパーティコンポーネント [1] はAxis製品では使用されていないため、これらの製品は影響を受けません。それに加えて、APIインターフェースで入力検証を実行することで、さらなる保護が提供されます。 ファームウェア5.70以降の新しいAxis製品はApacheウェブサーバーを使用するため、BOAウェブサーバーは削除されました。

[1] backup.html、preview.html、js/log.js、log.html、email.html、online-users.html、config.jsおよび/cgi-bin/wapopenは使用されていません

uClibc DNSの脆弱性 (CVE-2021-43523、CVE-2022-30295) に関するAxis Communicationsの声明。 Axisは2010年以降、Axisの製品、ソフトウェア、サービスにuClibcパッケージを組み込んでいません。 したがって、AXIS P7701 Video Decoderを除き、現在もハードウェアまたはソフトウェアのサポートを受けているAxis製品で、この脆弱性の影響を受けるものはありません。 現在、この脆弱性を修正したサービスリリースを提供できるかどうかを判断するため、アップストリームパッチの提供開始を待っています。

Axisは、独立した研究者や企業による活動の重要性と努力を認め、優れた貢献者を新しい製品セキュリティの殿堂にリストアップしています。

AXIS OS Hardening Guideの更新バージョンと、AXIS Camera Station Systemの強化ガイドをリリースしました。

Axisセキュリティチームは、より詳細で包括的な脆弱性管理プロセスを提供することを目的として、製品、ソフトウェア、サービスの脆弱性管理ポリシーを更新しました。 今後、Axisセキュリティ通知サービスは、Axisの脆弱性だけでなく、Axis製品、ソフトウェア、サービスで使用されているApache、OpenSSLなどのサードパーティのオープンソースコンポーネントについても定期的に通知するために使用されます。