Recursos de segurança cibernética

Marinus Pfund, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou duas falhas no AXIS OS:
CVE-2024-0067 (CVSSv3.1: 4.3 Médio) afetando o AXIS OS 8.40 - 11.10. A API VAPIX ledlimit.cgi era vulnerável a ataques de traversal de caminho, permitindo listar nomes de pastas/arquivos no sistema de arquivos local do dispositivo Axis.
CVE-2024-6509 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 - 11.11. A API VAPIX alwaysmulti.cgi era vulnerável ao globbing de arquivos, o que poderia levar ao esgotamento de recursos do dispositivo Axis.

A Axis lançou patches para essas falhas nas faixas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e nas faixas (antigas LTS) 8.40 e 6.50 para produtos ainda com suporte de software do AXIS OS.

51l3nc3, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou 1 falha no AXIS OS:
CVE-2024-6173 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 - 11.10. Um parâmetro da API VAPIX do Guard Tour permitia o uso de valores arbitrários, permitindo que um invasor bloqueasse o acesso à página de configuração do Guard Tour na interface web do dispositivo Axis.

A Axis lançou patches para essa falha nas faixas LTS 2024 11.11, LTS 2022 10.12, LTS 2020 9.80 e nas faixas (antiga LTS) 8.40 e 6.50 para produtos ainda sob suporte de software para AXIS OS.

Amin Aliakbari, membro do Programa de Recompensas por Bugs do AXIS OS, encontrou 1 falha no AXIS OS:
CVE-2024-6979 (CVSSv3.1: 6.8 Médio) afetando o AXIS OS 11.11. Um controle de acesso comprometido permitiu que contas de operadores e/ou visualizadores menos privilegiados tivessem mais privilégios do que o projetado. O risco de exploração é muito baixo, pois requer etapas complexas para ser executada, incluindo o conhecimento de senhas de contas e ataques de engenharia social para enganar o administrador e fazê-lo executar configurações específicas em contas com privilégios de operador e/ou visualizador.

A Axis lançou patches para essa falha na faixa LTS 2024 11.11.

Durante a modelagem interna de ameaças do ASDM, a Axis encontrou 1 falha no AXIS OS:
CVE-2024-7784 (CVSSv3.1: 6.1 Médio) afetando produtos Axis ARTPEC-8 que executam o AXIS OS 10.9 - 11.11, produtos Axis i.MX8 QP que executam o AXIS OS 11.11, produtos Axis i.MX6 SX, i.MX6 ULL que executam o AXIS OS 10.10 - 11.11, produtos Axis i.MX8M Mini e i.MX8M Nano UL executando o AXIS OS 11.8 - 11.1. A falha foi encontrada na proteção contra adulteração de dispositivos (comumente conhecida como Secure Boot) no AXIS OS, tornando-o vulnerável a um ataque sofisticado para contornar essa proteção. Até onde a Axis sabe, não há exploits conhecidos publicamente até hoje e a Axis não tem conhecimento de que isso tenha sido explorado.

A Axis lançou patches para essa falha nas versões 12.0 Active Track, LTS 2024 11.11 e LTS 2022 10.12. Por motivos de segurança, esse patch também aplicará restrições de downgrade, o que significa que o produto só poderá fazer downgrade para a versão mais recente da faixa LTS 2024 11.11 ou LTS 2022 10.12, se o produto tiver suporte para ela. Outras versões mais antigas ou intermediárias do AXIS OS não serão aceitas pelo produto a partir de então.

Johan Fagerström, membro do AXIS OS Bug Bounty Program, encontrou uma falha (CVE-2024-0066 - CVSSv3.1: 5.3 Médio) em um recurso O3C que pode expor tráfego confidencial entre o cliente (dispositivo Axis) e o servidor (O3C). Se o O3C não estiver sendo usado, essa falha não se aplica. 

A Axis lançou um patch para essa falha no 11.10 Active Track, LTS 2022 10.12, LTS 2020 9.80 e nas trilhas (antigo LTS) 8.40 e 6.50, bem como na trilha de software 5.51 para produtos ainda com suporte de software AXIS OS.

Sandro Poppi, membro do AXIS OS Bug Bounty Program, encontrou 2 falhas no AXIS OS:

CVE-2024-0054 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 6.50 – 11.8. As APIs VAPIX local_list.cgi, create_overlay.cgi e irissetup.cgi eram vulneráveis ao globbing de arquivos, o que poderia levar a um ataque de esgotamento de recursos

CVE-2024-0055 (CVSSv3.1: 6.5 Médio) afetando o AXIS OS 10.12 – 11.8. As APIs VAPIX mediaclip.cgi e playclip.cgi eram vulneráveis ao globbing de arquivos, o que poderia levar a um ataque de esgotamento de recursos.

A Axis lançou patches para essas três falhas no 11.9 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2020 9.80 e as (antigas) faixas LTS 8.40 e 6.50 para produtos ainda com suporte de software AXIS OS.

Brandon Rothel, da QED Secure Solutions, descobriu que a API VAPIX tcptest.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 6.3 Média - CVE-2023-5677) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas com privilégios de operador em comparação com contas de serviço com privilégios de administrador. A Axis lançou patches para esta falha na faixa de software 5.51 para produtos ainda sob suporte de software.

Vintage, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX create_overlay.cgi não tinha validação de entrada suficiente para permitir uma possível execução remota de código. Esta falha (CVSSv3.1: 5.4 Média - CVE-2023-5800) só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. 

A Axis lançou patches para essas falhas nas faixas 11.8 Active Track, LTS 2022 10.12, LTS 2020 9.80 e nas faixas (antiga LTS) 8.40 e 6.50 para produtos ainda sob suporte de software para AXIS OS.

Sandro Poppi, membro do AXIS OS Bug Bounty Program, encontrou 3 falhas no AXIS OS: 
CVE-2023-21416 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 10.12 – 11.6. A API Axis VAPIX dynamicoverlay.cgi era vulnerável a um ataque de negação de serviços, permitindo que um invasor bloqueasse o acesso à página de configuração de sobreposição na interface Web do dispositivo Axis. Esta falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador, mas o impacto é igual.

CVE-2023-21417 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 8.50 – 11.6. A API VAPIX manageroverlayimage.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos/pastas. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador. 

CVE-2023-21418 (CVSSv3.1: 7.1 Alto) afetando o AXIS OS 6.50 – 11.6. A API VAPIX irissetup.cgi era vulnerável a ataques de traversal de caminho que permitem a exclusão de arquivos. Essa falha só pode ser explorada após autenticação com uma conta de serviço com privilégios de operador ou administrador. O impacto da exploração desta vulnerabilidade é menor com contas de serviço de operador e limitado a arquivos que não são do sistema em comparação com privilégios de administrador. 

A Axis lançou patches para essas três falhas no AXIS OS 11.7 Active Track, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e a (antiga) faixa LTS 6.50 para produtos ainda com suporte de software AXIS OS.

Durante a modelagem de ameaças ASDM interna, uma falha (CVSSv3.1: 7.6 Alto – CVE-2023-5553) foi encontrada na proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) em produtos ARTPEC-8 que executam o AXIS OS 10.8 – 11.5, o que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 11.7 Active Track e no AXIS OS 10.12 LTS track.

A GoSecure em nome da Genetec Inc. encontrou uma falha (CVSSv3.1: 9.1 Crítica – CVE-2023-21413) no AXIS OS 10.5 – 11.5 que permitia a execução remota de código durante a instalação de aplicativos ACAP no dispositivo Axis. O serviço de manipulação de aplicativos no AXIS OS era vulnerável à injeção de comandos, permitindo que um invasor executasse código arbitrário. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6.

O NCC Group encontrou uma falha (CVSSv3.1: 7.1 Alto – CVE-2023-21414) durante o teste de penetração interno anual solicitado pela Axis Communications. Para os produtos AXIS A8207-VE Mk II, AXIS Q3527-LVE e todos os produtos ARTPEC-8, a proteção contra adulteração de dispositivos (comumente conhecida como inicialização segura) no AXIS OS 10.11 – 11.5 contém uma falha que oferece uma oportunidade para um ataque sofisticado contornar essa proteção. A Axis lançou versões corrigidas no AXIS OS 10.12 LTS e na trilha de software 11.6. 

Sandro Poppi, membro do AXIS OS Bug Bounty Program, descobriu que a API VAPIX overlay_del.cgi era vulnerável a ataques de path traversal que permitem a exclusão de arquivos no AXIS OS 6.50 – 11.5 (CVSSv3.1: 6.5 Médio – CVE-2023-21415). A Axis lançou versões corrigidas na trilha ativa 11.6, LTS 2022 10.12, LTS 2020 9.80, LTS 2018 8.40 e na (antiga) trilha LTS 6.50 para produtos ainda sob suporte de software para AXIS OS.

Diego Giubertoni da Nozomi Networks Inc. encontrou várias falhas (CVSSv3.1: Alta – CVE-2023-21407, CVE-2023-21408, CVE-2023-21409, CVE-2023-21410, CVE-2023-21411, CVE-2023-21412) no aplicativo ACAP AXIS License Plate Verifier. Axis lançou uma versão corrigida do AXIS License Plate Verifier (2.8.4). As versões pré-instaladas do AXIS License Plate Verifier para câmeras de kit estão atualizadas no AXIS OS 10.12 LTS e na trilha 11.5.

Knud da Fraktal.fi encontrou uma falha em alguns controladores de porta em rede Axis e intercomunicadores em rede Axis na comunicação por OSDP (CVE-2023-21405), destacando que o analisador de mensagens OSDP trava o processo pacsiod e causa uma indisponibilidade temporária das funcionalidades de controle de porta. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

Ariel Harush e Roy Hodir da OTORIO encontraram uma falha no AXIS A1001 na comunicação via OSDP (CVE-2023-21406). Um estouro de buffer baseado em heap foi encontrado no processo pacsiod que manipula a comunicação OSDP, permitindo a gravação fora do buffer alocado. A Axis lançou uma versão corrigida para dispositivos afetados que aumenta a robustez do analisador de mensagens OSDP e corrige a falha destacada.

Alexander Pick, membro do AXIS OS Bug Bounty Program, encontrou uma falha no AXIS OS 11.0.X – 11.3.x (CVE-2023-21404) que não segue as práticas recomendadas de desenvolvimento seguro da Axis. Uma chave RSA estática foi usada para criptografar código-fonte específico da Axis em componentes LUA legados.

Declaração da Axis Communications sobre as vulnerabilidades descobertas no servidor Web BOA (CVE-2017-9833 e CVE-2021-33558). A Axis utilizava o servidor Web BOA em seus produtos até o firmware 5.65. No entanto, esses produtos não são afetados, pois os componentes de terceiros[1] necessários para explorar as vulnerabilidades não são usados nos produtos Axis. Além disso, proteção adicional é fornecida através da validação de entrada em interfaces API. Os produtos Axis mais recentes com firmware 5.70 e superior utilizam o servidor Web Apache. O servidor Web BOA foi, portanto, removido.

[1] backup.html, preview.html, js/log.js, log.html, email.html, online-users.html, config.js e /cgi-bin/wapopen não são usados

Declaração da Axis Communications sobre a Vulnerabilidade do DNS uClibc descoberta pela Nozomi Networks (CVE-2021-43523, CVE-2022-30295). A Axis não incorpora o pacote uClibc desde 2010 em seus produtos, softwares e serviços. Até o momento, nenhum produto Axis atualmente oferecido para venda ou descontinuado que ainda esteja sob suporte de hardware ou software é afetado por essa vulnerabilidade, exceto o AXIS P7701 Video Decoder. No momento, estamos aguardando a disponibilidade de um patch para avaliar se podemos fornecer uma versão de serviço que corrija esta vulnerabilidade.

A Axis reconhece a importância e o trabalho árduo realizado por pesquisadores e empresas independentes e, portanto, lista colaboradores de destaque em nosso novo Hall da Fama da Segurança de Produtos.

Uma versão atualizada do Guia de Fortalecimento do AXIS OS, bem como um guia de fortalecimento totalmente novo para AXIS Camera Station System, foi lançado.

A equipe de segurança da Axis atualizou a política de gerenciamento de vulnerabilidades para produtos, software e serviços com o objetivo de fornecer um processo de gerenciamento de vulnerabilidades mais detalhado e abrangente. O Axis Security Notification Service será usado a partir de agora para informar regularmente não apenas sobre vulnerabilidades da Axis, mas também sobre componentes de código aberto de terceiros, como Apache, OpenSSL e outros usados em produtos, software e serviços da Axis.