사이버 보안 리소스

AXIS OS 버그 바운티 프로그램의 회원인 Marinus Pfund가 AXIS OS에서 2가지 결함 발견:
CVE-2024-0067 (CVSSv3.1: 4.3 중간) AXIS OS 8.40 - 11.10에 영향을 미칩니다. VAPIX API ledlimit.cgi는 Axis 장치의 로컬 파일 시스템에 폴더/파일 이름을 나열할 수 있는 경로 탐색 공격에 취약했습니다.
CVE-2024-6509 (CVSSv3.1: 6.5 중간) AXIS OS 6.50 - 11.11에 영향을 미칩니다. VAPIX API alwaysmulti.cgi는 파일 글로밍에 취약하여 Axis 장치의 리소스 소모를 초래할 수 있었습니다.

Axis는 LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 트랙과(이전 LTS) 8.40 및 6.50 트랙에서 이러한 결함에 대한 패치를 출시했으며, 이 패치는 여전히 AXIS OS 소프트웨어에서 지원되는 제품에 적용됩니다.

AXIS OS 버그 바운티 프로그램의 회원인 51l3nc3는 AXIS OS에서 1개의 결함을 발견했습니다:
CVE-2024-6173 (CVSSv3.1: 6.5 중간) AXIS AXIS OS 6.50 - 11.10에 영향을 미칩니다. 가드 투어 VAPIX API 매개 변수를 사용하면 임의의 값을 이용할 수 있어 공격자가 Axis 장치의 웹 인터페이스에서 가드 투어 구성 페이지에 대한 접근을 차단할 수 있습니다.

Axis는 LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 트랙과 아직 AXIS OS 소프트웨어 지원을 받는 제품에 대한 (이전 LTS) 8.40 및 6.50 트랙에 이 결함에 대한 패치를 적용했습니다.

AXIS OS 버그 바운티 프로그램의 회원인 Amin Aliakbar가 AXIS OS에서 결함 1건 발견:
CVE-2024-6979 (CVSSv3.1: 6.8 중간) AXIS OS 11.11에 영향을 미칩니다. 권한이 낮은 운영자 및/또는 시청자 계정에 설계된 것보다 많은 권한이 부여되는 접근 제어 취약점이 발견되었습니다. 운영자 및/또는 시청자 권한 계정에서 특정 구성을 실행하기 위해 관리자를 속이는 계정 패스워드 및 소셜 엔지니어링 공격 등 복잡한 단계를 거쳐야 하므로 악용될 위험은 매우 낮습니다.

Axis는 LTS 2024 11.11 트랙에서 이 결함에 대한 패치를 배포했습니다.

내부 ASDM 위협 모델링 중 Axis는 AXIS OS에서 결함 1건 발견:
CVE-2024-7784 (CVSSv3.1: 6.1 중간) AXIS OS 10.9 - 11.11를 실행하는 Axis ARTPEC-8 제품, AXIS OS 11.11을 실행하는 Axis i.MX8 QP 제품, AXIS OS 10.10 - 11.11을 실행하는 Axis i.MX6 SX, i.MX6 ULL 제품, AXIS OS 11.8 - 11.1을 실행하는 Axis i.MX8M Mini 및 i.MX8M Nano UL 제품에 영향을 미칩니다. 이 결함은 AXIS OS의 장치 변조 방지(일반적으로 보안 부팅이라고 함) 기능에서 발견되었으며, 이로 인해 이 보호 기능을 우회하는 정교한 공격에 취약해집니다. Axis에서 아는 한, 현재까지 알려진 취약점은 공개적으로 존재하지 않으며, Axis는 이러한 악용 사례를 알지 못합니다.

Axis는 12.0 Active Track, LTS 2024 11.11 및 LTS 2022 10.12 트랙에서 이 결함에 대한 패치를 출시했습니다. 보안상의 이유로 이 패치는 다운그레이드 제한도 적용하므로, 이를 지원하는 제품인 경우에만 최신 버전인 LTS 2024 11.11 또는 LTS 2022 10.12 트랙으로 다운그레이드 가능합니다. 해당 제품에서는 이전 버전이나 중간 버전의 AXIS OS를 사용할 수 없습니다.

AXIS OS 버그 바운티 프로그램의 회원인 Johan Fagerström이 결함을 발견했습니다(CVE-2024-0066 - CVSSv3.1: 5.3 중간) 클라이언트(Axis 장치)와(O3C) 서버 사이의 민감한 트래픽을 노출할 수 있는 O3C 기능. O3C를 사용하지 않는 경우 이 결함은 적용되지 않습니다. 

Axis는 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80, (이전 LTS) 8.40 및 6.50 트랙과 아직 AXIS OS 소프트웨어 지원을 받는 제품에 대한 5.51 소프트웨어 트랙에서 이 결함에 대한 패치를 출시했습니다.

AXIS OS 버그 바운티 프로그램의 회원인 Sandro Poppi가 AXIS OS에서 2가지 결함 발견:

CVE-2024-0054(CVSSv3.1: 6.5 중간)는 AXIS OS 6.50 - 11.8에 영향을 미칩니다. VAPIX API local_list.cgi, create_overlay.cgi 및 irissetup.cgi는 리소스 고갈 공격으로 이어질 수 있는 파일 글로빙에 취약했습니다.

CVE-2024-0055(CVSSv3.1: 6.5 중간)는 AXIS OS 10.12 - 11.8에 영향을 미칩니다. VAPIX API mediaclip.cgi 및 playclip.cgi는 리소스 고갈 공격으로 이어질 수 있는 파일 글로빙에 취약했습니다.

Axis는 이러한 결함에 대한 패치를 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 및 (이전 LTS) 8.40 및 6.50 트랙에서 아직 AXIS OS 소프트웨어 지원을 받는 제품에 적용했습니다.

QED Secure Solutions의 Brandon Rothel은 VAPIX API tcptest.cgi에 충분한 입력 검증이 없어 원격 코드 실행의 가능성이 있다는 사실을 발견했습니다. 이 결함(CVSSv3.1: 6.3 Medium - CVE-2023-5677)은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한 서비스 계정에 비해 운영자 권한 서비스 계정의 영향이 더 적습니다. Axis는 아직 소프트웨어 지원을 받고 있는 제품을 위해 5.51 소프트웨어 트랙에서 이 결함에 대한 패치를 출시했습니다.

AXIS OS 버그 바운티 프로그램의 구성원인 Vintage는 VAPIX API create_overlay.cgi에 충분한 입력 검증이 없어 원격 코드 실행의 가능성이 있다는 사실을 발견했습니다. 이 결함(CVSSv3.1: 5.4 Medium - CVE-2023-5800)은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 

Axis는 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 및 (이전 LTS) 8.40 및 6.50 트랙(아직 AXIS OS 소프트웨어 지원을 받는 제품)에 이러한 결함에 대한 패치를 출시했습니다.

AXIS OS 버그 바운티 프로그램의 회원인 Sandro Poppi가 AXIS OS에서 3가지 결함 발견:
CVE-2023-21416(CVSSv3.1: 7.1 높음), AXIS OS 10.12 - 11.6에 영향을 미침. Axis VAPIX API dynamicoverlay.cgi는 서비스 거부 공격에 취약하여 공격자가 Axis 장치의 웹 인터페이스에서 오버레이 구성 페이지에 대한 접근을 차단할 수 있었습니다. 이런 결함은 운영자나 관리자 권한을 보유한 서비스 계정으로 인증한 후에만 악용될 수 있지만, 그 영향은 마찬가지입니다.

CVE-2023-21417(CVSSv3.1: 7.1 높음), AXIS OS 8.50 - 11.6에 영향을 미침. VAPIX API manageoverlayimage.cgi는 파일/폴더 삭제를 허용하는 경로 탐색 공격에 취약했습니다. 이 결함은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한에 비해 운영자 서비스 계정의 영향이 낮으며, 시스템 파일이 아닌 파일에만 국한됩니다.

CVE-2023-21418(CVSSv3.1: 7.1 높음), AXIS OS 6.50 - 11.6에 영향을 미침. VAPIX API irissetup.cgi는 파일 삭제를 허용하는 경로 탐색 공격에 취약했습니다. 이 결함은 운영자나 관리자 권한을 지닌 서비스 계정으로 인증한 후에만 악용될 수 있습니다. 이런 취약점을 악용해도 관리자 권한에 비해 운영자 서비스 계정의 영향이 낮으며, 시스템 파일이 아닌 파일에만 국한됩니다.

Axis는 AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 및 (이전) LTS 6.50 트랙에 이 3가지 결함에 대한 패치를 배포했으며, 아직 AXIS OS 소프트웨어 지원을 받고 있는 제품에는 이 패치를 적용했습니다.

내부 ASDM 위협 모델링 도중 결함(CVSSv3.1: 7.6 높음 - CVE-2023-5553)은 AXIS OS 10.8 – 11.5를 실행하는 ARTPEC-8 제품의 장치 탬퍼링(주로 보안 부팅이라고 함)에서 발견되었으며, 이는 고도화된 공격이 이 보호를 우회할 수 있는 기회가 됩니다. Axis는 AXIS OS 11.7 Active Track 및 AXIS OS 10.12 LTS Track에 패치 버전을 출시했습니다.

Genetec Inc.를 대신하여 GoSecure는 AXIS OS 10.5 – 11.5에서 Axis 장치의 ACAP 애플리케이션 설치 중 원격 코드 실행을 허용하는 결함(CVSSv3.1: 9.1 중요 - CVE-2023-21413)을 발견했습니다. AXIS OS의 애플리케이션 처리 서비스는 공격자가 임의 코드를 실행할 수 있도록 허용하는 명령 주입에 취약했습니다. Axis는 AXIS OS 10.12 LTS 및 11.6 소프트웨어 트랙의 패치 버전을 출시했습니다.

NCC 그룹은 Axis Communications에서 주문한 연례 내부 침투 테스트 중에 결함(CVSSv3.1: 7.1 높음 -CVE-2023-21414)을 발견했습니다. AXIS A8207-VE Mk II, AXIS Q3527-LVE 및 모든 ARTPEC-8 제품의 경우 AXIS OS 10.11 – 11.5의 장치 탬퍼링 방지(일반적으로 보안 부팅이라고 함)에는 정교한 공격이 이 보호 기능을 우회할 수 있는 기회를 허용하는 결함이 포함되어 있습니다. Axis는 AXIS OS 10.12 LTS 및 11.6 소프트웨어 트랙의 패치 버전을 출시했습니다. 

AXIS OS 버그 바운티 프로그램 회원인 Sandro Poppi는 VAPIX API overlay_del.cgi가 AXIS OS 6.50 – 11.5(CVSSv3.1: 6.5 중간 - CVE-2023-21415)에서 파일 삭제를 허용하는 경로 탐색 공격에 취약하다는 사실을 발견했습니다. Axis는 11.6 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 및 여전히 AXIS OS 소프트웨어 지원을 받는 제품을 위한 (이전)LTS 6.50 트랙의 패치 버전을 출시했습니다.

Nozomi Networks Inc.의 Diego Giubertoni는 AXIS License Plate Verifier ACAP 애플리케이션에서 여러 가지 결함을 발견했습니다( CVSSv3.1: 높음 - CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412). Axis는 AXIS License Plate Verifier (2.8.4)의 패치 버전을 출시했습니다. 키트 카메라용 사전 설치된 AXIS License Plate Verifier 버전은 AXIS OS 10.12 LTS 및 11.5 트랙에서 업데이트되었습니다.

Fraktal.fi의 Knud는 OSDP를 통해 통신할 때 일부 Axis 네트워크 도어 컨트롤러 및 Axis 네트워크 인터콤에서 결함을 발견했습니다( CVE-2023-21405). OSDP를 통해 통신할 때 OSDP 메시지 파서가 pacsiod 프로세스와 충돌하여 도어 제어 기능을 일시적으로 사용할 수 없게 된다는 점을 강조합니다. Axis는 영향을 받는 장치에 대해 OSDP 메시지 구문 분석기의 견고성을 높이고 강조된 결함을 패치하는 패치 버전을 출시했습니다.

OTORIO의 Ariel Harush와 Roy Hodir는 OSDP를 통해 통신할 때 AXIS A1001의 결함을 발견했습니다( CVE-2023-21406). 할당된 버퍼 외부에 쓰기를 허용하는 OSDP 통신을 처리하는 pacsiod 프로세스에서 힙 기반 버퍼 오버플로가 발견되었습니다. Axis는 영향을 받는 장치에 대해 OSDP 메시지 구문 분석기의 견고성을 높이고 강조된 결함을 패치하는 패치 버전을 출시했습니다.

AXIS OS 버그 바운티 프로그램 회원인 Alexander Pick이 AXIS OS 11.0.X - 11.3.x( CVE-2023-21404) Axis 보안 개발 모범 사례를 따르지 않습니다. 레거시 LUA 구성 요소에서 Axis 특정 소스 코드를 암호화하는 데 정적 RSA 키가 사용되었습니다.

발견된 BOA 웹 서버 취약점에 대한 Axis Communications의 명세서( CVE-2017-9833와 CVE-2021-33558). Axis는 펌웨어 5.65 이하의 레거시 제품에서 BOA 웹 서버를 사용해 왔습니다. 그러나 취약점을 악용하는 데 필요한 타사 구성 요소[1]가 Axis 제품에 사용되지 않으므로 이러한 제품은 영향을 받지 않습니다. 그 외에도 API 인터페이스에 대한 입력 검증을 수행하여 추가 보호가 제공됩니다. 펌웨어 5.70 이상이 설치된 최신 Axis 제품은 Apache 웹 서버를 활용하므로 BOA 웹 서버가 제거되었습니다.

[1] backup.html, Preview.html, js/log.js, log.html, email.html, online-users.html, config.js 및 /cgi-bin/wapopen은 사용되지 않습니다

Nozomi Networks가 발견한 uClibc DNS 취약점에서 Axis Communications의 명세서 ( CVE-2021-43523, CVE-2022-30295). Axis는 2010년부터 Axis 제품, 소프트웨어 및 서비스에 uClibc 패키지를 통합하지 않았습니다. 따라서 현재까지 하드웨어 또는 소프트웨어 지원을 받고 있는 활발하게 판매되거나 단종된 Axis 제품은 AXIS P7701 Video Decoder을 제외하고 이 취약성의 영향을 받지 않습니다. Axis는 현재 이 취약성을 패치하는 서비스 릴리스를 제공할 수 있는지 판단할 수 있는 업스트림 패치가 출시되기를 기다리고 있습니다.

Axis는 독립적인 연구원 및 기업의 중요성과 노고를 인정하고, 이에 따라 새로운 제품 보안 명예의 전당에서 탁월한 공헌자의 명단을 공개합니다.

업데이트된 버전의 AXIS OS 보안 강화 가이드와 AXIS Camera Station 시스템을 위한 완전히 새로운 보안 강화 가이드도 출시되었습니다.

Axis 보안 팀은 보다 상세하고 포괄적인 취약성 관리 프로세스를 제공하는 것을 목표로 제품, 소프트웨어, 서비스에 대한 취약성 관리 정책을 업데이트했습니다. Axis 보안 알림 서비스는 이제부터 Axis 취약성 뿐만 아니라 Apache, OpenSSL 및 Axis 제품, 소프트웨어 및 서비스에 사용되는 기타 타사 오픈 소스 구성 요소에 대해 정기적으로 알리는 데 사용됩니다.