Logo tal-ASSIAXIS OS Vulnerabilità Skaner
Gwida

Kontenut ħabi
1 Introduzzjoni
2 Ambitu
3 Gwida Quickstart Gwida Quickstart
4 L-aktar rimarki komuni
5 Apache web server
6 L-aktar rimarki komuni
7 OpenSSL
8 Ċertifikat iffirmat minnu nnifsu
9 Web rimarki tas-server
10 Firmware rimarki
11 Rimarki tan-netwerk
12 Rimarki tal-ħardwer
13 Dokumenti / Riżorsi
13.1 Referenzi
14 Karigi Relatati

Introduzzjoni

AXIS OS Vulnerability Scanner - ikona Gwida tal-Iskaner tal-Vulnerabilità tal-AXIS OS għall-apparati tat-tarf tal-Assis
Vulnerabbiltajiet u riskji
Is-softwer kollu għandu vulnerabilitajiet li potenzjalment jistgħu jiġu sfruttati. Il-vulnerabbiltajiet mhux se jintroduċu riskju awtomatikament. Ir-riskju huwa definit mill-probabbiltà ta' theddida li tisfrutta vulnerabbiltà u l-impatt negattiv potenzjali li jista' jagħmel sfruttament b'suċċess. Naqqas xi waħda mit-tnejn u tnaqqas ir-riskju. Iċ-ċibersigurtà hija dwar il-ġestjoni tar-riskji, u r-riskji huma diffiċli ħafna biex jiġu eliminati. Il-livell tar-riskju jiddependi fuq kif apparat/software jiġi skjerat, imħaddem u mmaniġġjat. It-tnaqqis tal-espożizzjoni (l-imminimizzazzjoni tal-opportunità) huwa mod effettiv biex jittaffew ir-riskji. AXIS OS Hardening Guide tiddeskrivi diversi kontrolli ta' sigurtà u rakkomandazzjonijiet biex jitnaqqsu r-riskji meta jiġi skjerat, operat u miżmum apparat Axis. Xi vulnerabbiltajiet jistgħu jkunu faċli biex jiġu sfruttati filwaqt li xi wħud jistgħu jeħtieġu livell għoli ta 'sofistikazzjoni, sett ta' ħiliet speċjali u/jew ħin u determinazzjoni. Theddida teħtieġ aċċess fiżiku jew għan-netwerk għall-apparat.
Xi vulnerabbiltajiet jeħtieġu privileġġi ta 'amministratur biex jisfruttaw. Is-CVSS (Common Vulnerability Scoring System) hija miżura użata komunement biex tgħin tiddetermina kemm vulnerabbiltà hija faċli biex tiġi sfruttata u l-impatt negattiv potenzjali. Dawn il-punteġġi ħafna drabi huma bbażati fuq softwer f'sistemi kritiċi jew softwer li għandu espożizzjoni għolja għall-utenti u/jew l-Internet. Axis jimmonitorja d-database CVE (Common Vulnerabilities & Exposure) li tippubblika vulnerabbiltajiet magħrufa fis-softwer għall-entrati CVE li għandhom x’jaqsmu mal-pakketti open-source użati fit-tagħmir Axis. Vulnerabbiltajiet li Axis tidentifika bħala riskju limitat se jiġu rimedjati f'rilaxxi tal-firmware futuri. Vulnerabbiltajiet li Axis tidentifika bħala riskju akbar se jiġu ttrattati bi prijorità li tirriżulta f'garża tal-firmware mhux skedata jew il-pubblikazzjoni ta' avviż ta' sigurtà li jinforma dwar ir-riskju u r-rakkomandazzjonijiet. Għodod tal-iskannjar li jirrappurtaw pożittivi foloz
Għodod tal-iskannjar tipikament jippruvaw jidentifikaw vulnerabbiltajiet magħrufa billi jeżaminaw in-numri tal-verżjoni tas-softwer u l-pakketti misjuba f'apparat. Dejjem hemm il-possibbiltà li għodda tal-iskannjar tirrapporta rimarka pożittiva falza, li jfisser li l-apparat fil-fatt ma jkollux il-vulnerabbiltà. Ir-rimarki kollha minn tali għodod tal-iskanjar jeħtieġ li jiġu analizzati biex jiġi vvalidat li fil-fatt japplikaw għall-apparat. Trid tiżgura li l-apparat Axis ikollu l-aħħar verżjoni tal-firmware peress li jista’ jinkludi garża li tindirizza diversi vulnerabbiltajiet.

Ambitu

Din il-gwida hija miktuba għal u tista' tiġi applikata għalihom, il-prodotti kollha bbażati fuq AXIS OS li qed imexxu AXIS OS LTS jew firmware tal-binarji attiv. Prodotti tal-wirt li jħaddmu firmware 4.xx u 5.xx huma wkoll fl-ambitu.
AXIS OS Vulnerability Scanner - ikona Is-sistema operattiva għall-apparati tat-tarf tal-Assi.

Gwida Quickstart Gwida Quickstart

Huwa rakkomandat li jsiru valutazzjonijiet regolari tal-vulnerabbiltà tal-infrastruttura li l-apparat Axis jagħmel parti minnha kif ukoll tal-apparat Axis innifsu. Dawn il-valutazzjonijiet tal-vulnerabbiltà huma ġeneralment imwettqa minn skaners tas-sigurtà tan-netwerk. L-iskop ta' valutazzjoni tal-vulnerabbiltà huwa li tipprovdi rieżami sistematikuview ta' vulnerabbiltajiet potenzjali tas-sigurtà u konfigurazzjonijiet ħżiena. Nixtiequ nenfasizzaw ir-rakkomandazzjonijiet li ġejjin qabel ma niskennjaw l-apparat Axis għal vulnerabbiltajiet sabiex timmassimizza l-kwalità tar-rapport ta 'skanjar kif ukoll biex jiġu evitati żbalji komuni u pożittivi foloz.

  • Kun żgur li l-firmware tal-apparat Axis huwa aġġornat bl-aħħar rilaxx disponibbli, jew fuq il-binarju tal-appoġġ fit-tul (LTS) tal-OS AXIS jew il-binarju attiv. L-aħħar firmware disponibbli ta' AXIS OS jista' jitniżżel hawn.
  • Ir-rakkomandazzjonijiet f'AXIS OS Hardening Guide għandhom jiġu applikati qabel l-iskannjar biex jiġu evitati pożittivi foloz kif ukoll jiġi żgurat li l-apparat Axis jitħaddem skont ir-rakkomandazzjonijiet taċ-ċibersigurtà tal-Axis.
  • Huwa rrakkomandat li jsir l-hekk imsejjaħ skan tal-vulnerabbiltà bil-kredenzjali fejn eż. l-iskaner tas-sigurtà jitħalla jidħol fl-apparat Axis permezz ta' HTTP(S) jew SSH. Skennjar tas-sigurtà bi kredenzjali huwa aktar effettiv peress li l-wiċċ tal-iskannjar huwa mwessa 'b'mod sinifikanti.
  • Aħna nenfasizzaw l-importanza li jsir l-iskannjar tal-vulnerabbiltà bl-użu ta’ sħab stabbiliti sew b’għarfien wiesa’ u sett iddedikat ta’ skanjar speċifiku għall-Assi plugins fis-suq, bħal Tenable, Rapid7, Qualys, jew oħrajn.

L-aktar rimarki komuni

Komponenti tas-softwer skaduti
Sfond L-iskaners tas-Sigurtà jenfasizzaw meta apparat ikun qed jaħdem verżjoni antikwata ta' komponent tas-softwer. Jista 'saħansitra jiġri li l-iskaner tas-sigurtà ma jkunx jista' jiddetermina liema verżjoni qed taħdem fil-fatt u jimmarkaha xorta waħda. L-iskaner tas-sigurtà sempliċement iqabbel il-verżjoni tal-komponenti tas-softwer li qed jaħdmu fuq l-apparat Axis mal-aħħar verżjoni disponibbli. L-iskaner tas-sigurtà mbagħad joħroġ lista ta 'vulnerabbiltajiet tas-sigurtà, anke mingħajr konferma li l-apparat li qed jiġi ttestjat huwa verament affettwat bħala tali. Dan ġie osservat bil-kernel Linux, OpenSSL, Apache, BusyBox, OpenSSH, Curl, u oħrajn.
Il-komponenti tas-software open-source jirċievu karatteristiċi ġodda, bug fixes, u garżi tas-sigurtà matul il-kors tal-iżvilupp tagħhom, li jirriżultaw f'ċiklu ta 'rilaxx għoli. Għalhekk, mhuwiex rari li l-apparat Axis li qed jiġi ttestjat ma jkunx qed jaħdem l-aħħar verżjoni ta 'komponent tas-softwer. Madankollu, Axis qed timmonitorja komponenti ta' softwer open-source għal vulnerabbiltajiet tas-sigurtà li potenzjalment jistgħu jitqiesu bħala kritiċi minn Axis u se tippubblika dawk f'konsulenza dwar is-sigurtà.
Termini ta' rapport komuni

  • "Instabet li ġiet utilizzata verżjoni vulnerabbli tal-Linux"
  • "Skond il-banner tagħha, il-verżjoni ta 'Apache taħdem"
  • "Skond il-banner tagħha, il-verżjoni ta' OpenSSL taħdem..."
  • "Żvelar tal-Verżjoni tas-Server (Header)..."

Riskju u rakkomandazzjonijiet
Minn AXIS OS 10.6 u 'l quddiem, huwa possibbli li tiddiżattiva l-informazzjoni tal-header OpenSSL u Apache billi tiddiżattiva l-parametru HTTP Server Header Comments f'Konfigurazzjoni sempliċi > Sistema. Dan jista' jirriżulta f'vulnerabbiltajiet li ma jiġux skoperti mill-iskaners tas-sigurtà peress li l-verżjoni tal-pakkett mhix faċilment identifikabbli. Axis jirrakkomanda bil-qawwa li żżomm il-firmware tal-apparat aġġornat u tħeġġeġ biex twettaq verifiki tas-sigurtà fuq it-tagħmir tiegħek.

Apache web server

Sfond
L-apparati tal-assi jibbażaw tagħhom web interface u oħrajn web-funzjonalità relatata fuq l-Apache web server. Il- web server fl-apparat Axis qed jintuża primarjament f'żewġ xenarji:

  • Għal komunikazzjoni magna għal magna għal skopijiet ġenerali bejn l-apparat Axis u s-sistema li hija konnessa ma ', normalment, sistema ta' ġestjoni tal-vidjo li qed taċċessa l-apparat Axis permezz ta 'interfaces API bħal ONVIF u VAPIX.
  • L-installatur, l-amministraturi, u l-utent aħħari jwettqu kompiti (inizjali) ta’ konfigurazzjoni u manutenzjoni.

L-Apache web server huwa pakkett open-source bbażat fuq moduli. Dawn il-moduli individwali jista' jkun fihom vulnerabbiltajiet. Hawn taħt hawn lista ta 'moduli li huma komunement mgħobbija u użati fuq apparati Axis:

core_module (statiku) unixd_module (kondiviżi) authn_core_module (kondiviż) proxy_fcgi_module (kondiviż) awtur en-coded_user_file_modulu (kondiviż)
so_module (statiku) alias_module (kondiviż) auth core module (kondiviż) proxy_http_module (kondiviż) modulu ta' aċċess awth (kondiviż)
filter_module (statiku) modulu jikteb mill-ġdid (kondiviż) awn file modulu (kondiviż) proxy_wstunnel_module (kondiviż) trax_module (kondiviż)
brotli_module (statiku) cgid_module (kondiviż) modulu tal-utent awthz (kondiviż) modulu headers (kondiviżi) iptos_module (kondiviż)
http_module (statiku) log_config_module (kondiviż) authz_owner_module (kondiviż) http2_module (kondiviż) axsyslog_module (kondiviż)

L-aktar rimarki komuni

suexec_module (statiku) setenvif_module (kondiviż) auth_digest_module (kondiviż) systemd_module (kondiviż) ws_module (kondiviż)
mime_module (kondiviż) ssl_module (kondiviż) auth_basic_module (kondiviż) authn axisbasic mod-ule (kondiviż)
mpm_worker_module (kondiviż) socache_shmcb_module (kondiviża) proxy_module (kondiviż) authz_axisgroupfile_modulu (kondiviż)

Vulnerabilità li tapplika għal ċertu modulu f'Apache jeħtieġ li tiġi mgħobbija u użata mill-apparat tat-tarf Axis. Vulnerabbiltajiet ta' moduli li mhumiex mgħobbija mhumiex rilevanti.
Termini ta' rapport komuni

  • "Apache HTTPD: mod_proxy_ftp użu ta' valur mhux inizjali (CVE-2020-1934)"

Riskju u rakkomandazzjonijiet
Vulnerabbiltajiet Apache tipikament iżidu r-riskju għall-pubbliku web servizzi esposti għall-Internet immirati għall-utenti pubbliċi. Il- web server fl-apparati Axis għandu jintuża biss minn installaturi, amministraturi, u manutenzjoni. Mhux irrakkomandat li l-apparati Axis jiġu esposti biex ikunu aċċessibbli fuq l-Internet, u lanqas l-utenti m'għandhom ikollhom privileġġi li jużaw web browser biex taċċessa apparat waqt l-operazzjonijiet ta’ kuljum. Kontrolli ta' sigurtà addizzjonali bħal IP Tables, li jippermettu biss lill-klijenti approvati jaċċessaw, u jiddiżattivaw/prevenzjoni web browsers milli jaċċessaw jistgħu jiġu applikati biex ikomplu jitnaqqsu r-riskji.

OpenSSL

Sfond
L-apparati tal-assi jużaw OpenSSL bħala komponent ewlieni tas-sigurtà komuni biex jipprovdu funzjonalità ta' sigurtà għal, eż., HTTPS, ċertifikati, u każijiet ta' użu ta' encryption. "Verżjoni skaduta ta' OpenSSL" hija rimarka ta' skanjar komuni fuq apparati Axis, u vulnerabbiltajiet ġodda huma skoperti ta' spiss f'OpenSSL.
Simili għall-Apache web server, OpenSSL hija pjattaforma bbażata fuq modulari; ara hawn taħt lista ta' moduli li mhumiex utilizzati mill-prodotti Axis:

no-camellia bla taħbit tal-qalb no-mdc2 no-SRP
bla limitu le-hw le-rc5 bla subthreads
no-dati ebda idea no-SCTP
no-dtls1 no-md2 bla żerriegħa

Vulnerabilità li tapplika għal ċertu modulu f'OpenSSL jeħtieġ li titgħabba u tintuża mill-apparat tat-tarf Axis. Vulnerabbiltajiet ta' moduli li mhumiex mgħobbija mhumiex rilevanti iżda xorta jistgħu jiġu mmarkati mill-għodda tal-iskannjar.
Riskju u rakkomandazzjonijiet Il-vulnerabbiltajiet f'OpenSSL ma joħolqu l-ebda riskju jekk is-sistema ma tkunx qed tuża servizzi bħal HTTPS jew 802.1x (TLS), SRTP (RTSPS) jew SNMPv3. Mhux possibbli li l-apparat innifsu jiġi kompromess peress li attakk potenzjali jimmira lejn il-konnessjonijiet u t-traffiku TLS. L-isfruttar tal-vulnerabbiltajiet OpenSSL jeħtieġ aċċess għan-netwerk, sett ta' ħiliet għolja, u ħafna determinazzjoni.

Ċertifikat iffirmat minnu nnifsu

Sfond
L-apparati Axis jiġu b'ċertifikat iffirmat minnu nnifsu li jiġi ġġenerat awtomatikament mal-ewwel boot sabiex jipprovdi l-possibbiltà li jaċċessa l-prodott permezz ta 'konnessjoni HTTPS kriptata u jipproċedi bis-setup inizjali tal-prodott. L-iskaners tas-sigurtà jistgħu jenfasizzaw l-eżistenza taċ-ċertifikat iffirmat waħdu bħala mhux sigur u Axis jirrakkomanda li tneħħi ċ-ċertifikat iffirmat waħedha mill-apparat u li tibdilha b'ċertifikat tas-server li huwa fdat fl-organizzazzjoni tiegħek. Iċ-ċertifikat iffirmat minnu nnifsu jipprovdi f'dak is-sens mekkaniżmu kunfidenzjali u sigur għall-konfigurazzjoni inizjali iżda jeħtieġ li l-utent xorta jiċċekkja l-awtentiċità tal-apparat innifsu.
Termini ta' rapport komuni

  • “Iċ-Ċertifikat SSL ma jistax jiġi fdat...”
  • “Ċertifikat SSL iffirmat waħdu”
  • “X.509 Is-Suġġett taċ-Ċertifikat NM Ma Taqbilx mal-Isem tal-Entità…”

Riskju u rakkomandazzjonijiet
Ċertifikati ffirmati waħedhom jipprovdu kriptaġġ tan-netwerk iżda ma jipproteġux minn attakki man-in-the-middle (servizz rouge li jippersonizza servizz ta' netwerk leġittimu). Jekk tuża servizzi bħal HTTPS jew 802.x huwa rakkomandat li tuża ċertifikati ffirmati mill-Awtorità taċ-Ċertifikati (CA). Dawn iridu jiġu forniti mis-sid tas-sistema bl-użu ta' CA pubblika jew privata. Jekk ma tużax HTTPS jew 802.1x m'hemmx riskji, u l-vulnerabbiltajiet fl-OpenSSL sottostanti ma jistgħux jintużaw biex jikkompromettu l-apparat Axis. Għall-karatteristiċi tal-apparat Axis Axis Edge Vault, iċ-ċertifikat iffirmat minnu nnifsu ġie sostitwit biċ-ċertifikat tal-ID tal-apparat IEEE 802.1AR.
Tul taċ-ċavetta RSA
Sfond
Peress li l-apparati Axis jiġu b'ċertifikat iffirmat waħdu mgħobbi minn qabel, xi apparati għandhom tul taċ-ċavetta iqsar għaċ-ċertifikat mill-2048-bit. Iċ-ċertifikat huwa wkoll ta' tul ta' bit mhux standard biex jiżgura li l-aktar CA's ta' fama jirrifjutaw talba ta' ffirmar ta' dan. L-iskanners tas-sigurtà jistgħu jenfasizzaw dan bħala mhux sikur u huwa rakkomandat li dan iċ-ċertifikat jiġi sostitwit qabel l-iskjerament tal-produzzjoni peress li huwa maħsub biss għal setup inizjali.
Termini ta' rapport komuni

  • "Il-Katina taċ-Ċertifikati SSL Fih Ċwievet RSA Inqas minn 2048 bit..."
  • "Tul tal-modulu RSA fiċ-ċertifikat X.509: 1536 bit (inqas minn 2048 bit)..."

Riskju u rakkomandazzjonijiet
Din il-vulnerabbiltà ma tistax tintuża biex tikkomprometti l-apparat. It-tul taċ-ċavetta awto-firmat awtomatikament tal-apparati Axis huwa ssettjat għal 1536 bit sabiex titnaqqas il-latenza tal-konnessjoni u l-ħin biex jiġġeneraw iċ-ċertifikat u ċ-ċavetta. Dan it-tul taċ-ċavetta jipprovdi biżżejjed protezzjoni għall-kompiti amministrattivi bħall-issettjar mill-ġdid tal-passwords tal-kont tal-apparat u s-setup inizjali tal-apparat Axis. Huwa rakkomandat li ċ-ċertifikat default jiġi sostitwit b'ċertifikat iffirmat minn CA li għandu jiġi pprovdut mis-sid tas-sistema.
Settings taċ-ċifra
Sfond
Matul aġġornamenti regolari tal-firmware, il-lista ta' ċifraturi disponibbli tal-apparat Axis tista' tirċievi aġġornamenti mingħajr ma tinbidel il-konfigurazzjoni taċ-ċifra attwali. Il-bidla fil-konfigurazzjoni taċ-ċifra trid tkun mibdija mill-utent, jew billi twettaq default tal-fabbrika tal-apparat Axis jew permezz tal-konfigurazzjoni manwali tal-utent. Minn AXIS OS 10.8 u 'l quddiem, il-lista taċ-ċifra tiġi aġġornata awtomatikament meta l-utent jibda aġġornament tal-firmware.
Termini ta' rapport komuni

  • "Ċavetta Kriptografika Dgħajfa..."
  • "Server TLS/SSL Jappoġġja L-Użu ta' Ċifri Ċivili Statiċi..."

Huwa rakkomandat li dejjem tuża l-aktar ċifraturi b'saħħithom għall-encryption HTTPS meta jkun possibbli.
TLS 1.2 u aktar baxxi: Meta tuża TLS 1.2 jew inqas tista' tispeċifika ċ-ċifra HTTPS li għandha tintuża f'Konfigurazzjoni sempliċi > HTTPS > Ċifri segwit minn bidu mill-ġdid tal-apparat Axis. Axis jirrakkomanda li tagħżel iċ-ċifraturi meqjusa b'saħħithom kollha jew xi waħda minnhom (aġġornata f'Settembru 2021), jew li tagħmel l-għażla mixtieqa tiegħek.
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3: Meta tuża TLS 1.3, il-parametru taċ-ċifraturi HTTPS f'Plain Config m'għandu l-ebda effett bħala default, se jintgħażlu biss ċifraturi b'saħħithom skont TLS 1.3. L-għażla ma tistax tinbidel mill-utent u tiġi aġġornata permezz ta 'aġġornament tal-firmware jekk meħtieġ. Bħalissa, iċ-ċifraturi huma (aġġornat f'Settembru 2021):
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web rimarki tas-server

Web rimarki tas-server

Boa web server
Sfond
L-apparati tal-assi bil-verżjoni tal-firmware 5.65 u aktar baxxi jużaw il-Boa web server għall- web interface u web-funzjonalità relatata. Il- web server fl-apparati Axis qed jintuża primarjament f'żewġ xenarji:

  • Għal komunikazzjoni magna għal magna għal skopijiet ġenerali bejn l-apparat Axis u s-sistema hija konnessa ma ', normalment, sistema ta' ġestjoni tal-vidjo li qed taċċessa l-apparat Axis permezz ta 'interfaces API bħal ONVIF u VAPIX.
  • Għal ħidmiet ta' konfigurazzjoni u manutenzjoni mwettqa minn installaturi, amministraturi, u utenti finali.

Simili għall-aktar ġdid Apache web server li huwa utilizzat minn apparati Axis b'firmware aktar ġdid, il-Boa web server jista 'jiġi affettwat minn vulnerabbiltajiet. L-iskaners tas-sigurtà jistgħu ma jagħrfux il- web server użat f'apparati anzjani Axis u għalhekk sempliċement jassumi li dawn l-apparati jutilizzaw l-Apache web server. Vulnerabilità li tapplika għall-Apache web server ma japplikax għall-Boa web server awtomatikament jekk mhux iddikjarat mod ieħor.
Termini ta' rapport komuni

  • "Skond il-banner tagħha, il-verżjoni ta' Apache taħdem..."
  • "Il-verżjoni ta 'Apache HTTPd installata fuq il-host remot hija qabel 2.4.46. Huwa, għalhekk, affettwat minn vulnerabbiltajiet multipli...”

Apache Struts u Apache Tomcat
Sfond
Kif deskritt fl-Apache web server fuq paġna 4 , Axis apparati jibbażaw tagħhom web interface u web-funzjonalità relatata fuq l-Apache open-source web server. Togħmiet oħra tal-Apache web server jeżistu, bħal Apache Struts jew Tomcat, iżda mhumiex utilizzati f'apparat Axis. Axis juża l-Apache sempliċi open-source web implimentazzjoni tas-server tal-Apache Software Foundation (ASF).
Termini ta' rapport komuni

  • "Ġiet skoperta vulnerabbiltà f'Apache Tomcat..."
  • "L-parser multipart ta' Jakarta f'Apache Struts..."

Web sessjonijiet tal-utenti
L-apparati tal-Assi tal-isfond jibbażaw tagħhom web interface u oħrajn web-funzjonalità relatata fuq l-Apache web server. Il- web server fl-apparat Axis qed jintuża primarjament f'żewġ xenarji:

  • Għal komunikazzjoni magna għal magna għal skopijiet ġenerali bejn l-apparat Axis u s-sistema, hija konnessa ma ', normalment hija sistema ta' ġestjoni tal-vidjo li qed taċċessa l-apparat Axis permezz ta 'interfaces API bħal ONVIF u VAPIX.
  • Meta l-installatur, l-amministraturi, u l-utent aħħari jwettqu kompiti (inizjali) ta’ konfigurazzjoni u manutenzjoni.

Bħalissa, l-apparati Axis ma jappoġġjawx tradizzjonali web sessjonijiet ibbażati fuq l-utent fejn huwa possibbli għall- web sessjoni biex eż. illoggja jew tiskadi awtomatikament wara ċertu ammont ta' ħin ta' inattività tal-utent waqt li t-tieqa tal-browser tkun miftuħa. Kull talba permezz tal- web server fuq apparat Axis irid jiġi awtentikat kif suppost sabiex jiġi pproċessat qabel l-ispeċifiċi web sessjoni hija miftuħa għal aktar komunikazzjoni. Sabiex tagħlaq b'mod attiv a web sessjoni, il-browser irid jingħalaq.
Termini ta' rapport komuni

  • "Sessjonijiet ta' Utenti Konkorrenti..."
  • "Tmiem u Skadenza tas-Sessjoni Insuffiċjenti..."
  • "L-Applikazzjoni M'għandhiex Karatteristika ta' Logout..."

Riskju u rakkomandazzjonijiet
Axis jirrakkomanda li taċċessa l-apparat permezz ta’ applikazzjoni, bħal sistema ta’ ġestjoni tal-vidjo (VMS), bħala l-klijent tal-vidjo primarju minflok tuża l- web browser jekk dan ikun is-suġġett ta' tħassib. Madankollu, jekk il- web Il-brawżer huwa l-uniku klijent tal-vidjo disponibbli, żomm f'moħħok il-linji gwida li ġejjin:

  • Tżurx mhux fdati websiti jew e-mails miftuħa minn mittenti mhux fdati (din hija ovvjament rakkomandazzjoni ġenerali dwar il-protezzjoni ċibernetika).
  • Uża browser differenti, li mhuwiex default tas-sistema, biex tikkonfigura l-apparat Axis.
  • Oħloq a viewer kont fuq l-apparat u uża dan meta viewing-fluss tal-vidjo. Il- viewIl-kont għandu privileġġi minimi u l-ebda drittijiet biex jibdel il-konfigurazzjoni tal-apparat Axis.
  • Tħallix il-browser miftuħ waħdu wara l-konfigurazzjoni sabiex timminimizza t-tieqa tal-attakk.

Firmware rimarki

Sekwenza tal-verżjoni tal-firmware tal-assi
Sfond
Axis tiżvela vulnerabbiltajiet u tipprovdi firmware aġġornat b'soluzzjonijiet tas-sigurtà sabiex il-klijenti jkunu jistgħu jaġġornaw u jtaffu r-riskji potenzjali. Iskanners tas-sigurtà normalment iwettqu biss paragun limitat tal-verżjoni tal-firmware li l-prodott Axis qed jaħdem kontra firmware anzjani u skaduti li jista 'jkun fihom vulnerabbiltajiet. Skaner tas-sigurtà jista' ma jagħrafx il-firmware Axis b'mod korrett, u b'hekk l-iskaner jimmarka l-firmware li qed jaħdem bħala vulnerabbli jew mhux sigur. Dejjem ikkonsulta n-noti ta' rilaxx għall-verżjoni tal-firmware tal-prodott li qed jiġi ttestjat peress li l-irqajja' ta' vulnerabbiltà serji jew kritiċi huma elenkati f'dan id-dokument.
Jista' jikkawża konfużjoni jekk it-tagħmir Axis ikun qed jaħdem verżjoni tal-firmware apposta jew jekk l-iskaner tas-sigurtà ma jkunx aġġornat bl-aħħar informazzjoni tal-firmware Axis disponibbli. Hawn taħt hemm xi examples tal-kordi tal-verżjoni tal-firmware tal-Axis:

  • 9.70 .1
  • 9.70 .1_ beta
  •  9.70 .1. 5

Termini ta' rapport komuni

  • "Vulnerabilitajiet Multipli tal-Assi (ACV-128401)..."

Distribuzzjoni tal-Linux u maniġer tal-pakkett integrat
Sfond
L-iskaners tas-sigurtà jistgħu jappoġġaw l-hekk imsejjaħ "skannjar tal-kredenzjali" bl-użu tad-dejta tal-login permezz web login (HTTP) jew permezz ta' aċċess għall-manutenzjoni (SSH) sabiex tikseb aktar informazzjoni dwar it-tagħmir, is-sistema operattiva tiegħu u softwer ieħor li jista' jaħdem fuqu. Id-distribuzzjoni tal-Linux hija verżjoni Poky (OpenEmbedded) b'irqajja kemm lokali kif ukoll upstream li jistgħu ma jaqblux jew jistgħu jiġu rikonoxxuti bħala tali mill-iskaner tas-sigurtà. Barra minn hekk, l-iskaner tas-sigurtà jista' jistenna l-użu ta' maniġer tal-pakketti, li ma jintużax fil-prodotti Axis.
Hawn taħt hemm paragun tal-iskema tal-ismijiet bejn id-distribuzzjoni użata mill-Assi u distribuzzjoni standard tal-Linux. Innota li dan tal-aħħar jista 'jiġi rikonoxxut mill-iskaner tas-sigurtà u jgħaddi filwaqt li l-verżjoni tal-Assi tista' ma tkunx. Biex nispjegaw dan, għandna l-kordi tal-verżjoni 4.9.206-axis speċifiċi għall-Assi u 54.9.206-ġeneriċi tal-Linux.
Termini ta' rapport komuni

  • "Il-kontrolli tas-sigurtà lokali MA ġewx attivati ​​minħabba li d-distribuzzjoni remota tal-Linux mhix appoġġata..."

Firmware u ċippa mhux kriptat
Sfond
L-iskaners tas-sigurtà jistgħu jenfasizzaw l-użu tal-flash chips użati fl-apparat Axis u jimmarkawhom jew il- filesistemi bħala tali b'"mhux kriptat". L-apparati tal-assi jagħmlu kriptaġġ sigrieti tal-utent bħal passwords, ċertifikati, ċwievet u oħrajn files mingħajr neċessarjament encrypting l filesistema. Ħażna lokali li tista 'titneħħa bħal karti SD huma encrypted bl-użu ta' encryption LUKS.
Termini ta' rapport komuni

  • “Iċ-ċippa tal-flash li fiha l-għerq file is-sistema tal-apparat mhix encrypted....”
  • "L-informazzjoni ġiet estratta mill-immaġni tal-firmware mhux kriptat, inkluż...."

Riskju u rakkomandazzjonijiet
Din il-vulnerabbiltà ma tistax tintuża biex tikkomprometti l-apparat. Il-firmware ma fih l-ebda sigriet awtomatikament u ma jeħtieġ ebda protezzjoni oħra ħlief il-firma tal-firmware biex jivvalida l-integrità. Softwer kriptat jagħmilha aktar diffiċli għar-riċerkaturi tas-sigurtà biex jidentifikaw vulnerabbiltajiet ġodda (mhux magħrufa), u softwer kriptat jista 'jintuża minn bejjiegħa biex jaħbu difetti intenzjonati (sigurtà permezz ta' oskurità). Għal apparati Axis, huwa meħtieġ aċċess għall-għeruq għall-aċċess għall- filesistema tal-apparat biex tikseb aċċess għaliha. Informazzjoni sensittiva bħal passwords huma maħżuna encrypted fuq il- filesistema u jeħtieġu livell għoli ta’ sofistikazzjoni, sett ta’ ħiliet, ħin u determinazzjoni biex jiġu estratti. Kun żgur li tuża password għerq b'saħħitha u żommha protetta. L-użu tal-istess password għal kameras multipli jissimplifika l-ġestjoni iżda jżid ir-riskju jekk is-sigurtà ta' kamera waħda tiġi kompromessa.
Bootloader
Sfond L-iskaners tas-Sigurtà jistgħu jemmnu li identifikaw l-għamla u l-mudell tal-implimentazzjoni tal-bootloader użata fit-tagħmir Axis u għalhekk jistgħu jenfasizzaw vulnerabbiltajiet relatati mal-boot sikur jew mal-bootloader innifsu. Il-prodotti tal-vidjow tan-netwerk u tal-awdjo tan-netwerk tal-assi jużaw bootloader żviluppat internament imsejjaħ u boot/netboot.
Termini ta' rapport komuni

  • "Instabet vulnerabbiltà fil-verżjonijiet kollha tal-bootloader GRUB2..."
  • "Ġiet skoperta kwistjoni f'Das U-Boot sal-2019.07..."

Rimarki tan-netwerk

TCP/ICMP ħinamp rispons
Sfond
Filwaqt li TCP u ICMP timestamp l-informazzjoni l-aktar spiss tintuża bħala għodda tan-netwerk biex titkejjel il-prestazzjoni u d-disponibbiltà tal-ospiti, tista 'tintuża wkoll biex issib informazzjoni relatata mal-ħin dwar l-apparat tan-netwerk innifsu. Il-ħinijiet ICMPamp informazzjoni fl-ICMP tip 13 (timestamp talba) u ICMP tip 14 (timestamp tweġiba) il-komunikazzjoni tipprovdi informazzjoni li tista' tintuża biex tikkalkula l-ħin attwali tal-apparat f'UTC. Il-ħin TCPamp informazzjoni tista 'tintuża biex tikkalkula l-hekk imsejħa informazzjoni ta' ħin ta 'round-trip (RTT) bejn żewġ hosts tan-netwerk, li jagħmilha possibbli li jiġi kkalkulat l-uptime attwali tal-apparat Axis.
L-iskaners tas-sigurtà jistgħu jimmarkaw l-eżistenza ta' TCP u ICMP timestamp tweġibiet mill-apparati Axis u jirrakkomandaw id-diżattivazzjoni ta' TCP u ICMP timestamp tweġibiet kull meta jkun possibbli. Axis issegwi r-rakkomandazzjoni tal-komunità open-source Linux li ma tqisx l-informazzjoni attwali dwar id-data/il-ħin ipprovduta minn dawn it-tweġibiet bħala riskju għas-sigurtà waħedha. Għalhekk il-ħin TCP/ICMPamp it-tweġibiet għadhom attivati ​​awtomatikament. Barra minn hekk, f'verżjonijiet aktar ġodda tal-Linux Kernel il-kalkolu attwali jitqies mhux affidabbli peress li l-kontromiżuri jiżguraw li jagħmluha inaffidabbli li tiġi kkalkulata l-informazzjoni tad-data/ħin. Mil-lum (Frar 2022), ma ġew żvelati l-ebda vulnerabbiltajiet jew sfruttamenti magħrufa li jiġġustifikaw id-diżattivazzjoni ta 'dawn is-servizzi fl-apparati Axis.
Termini ta' rapport komuni

  • “TCP ħinijietamp tweġiba misjuba…”
  • “ICMP ħinijietamp tweġiba misjuba…”

HTTP(S), politika HSTS
Sfond
L-apparati tal-assi huma kkonfigurati awtomatikament biex jippermettu konnessjonijiet HTTP u HTTPS. Huwa rrakkomandat li jsir użu taċ-ċertifikat awtofirmat iġġenerat mill-ewwel boot sabiex titwettaq l-ewwel konfigurazzjoni inizjali tal-apparat Axis fil-modalità HTTPS u biex taqleb il-konfigurazzjoni biex tippermetti biss konnessjonijiet HTTPS. HTTPS jista' jiġi infurzat eż. mill- web interface tal-apparat Axis wara Settings > Sistema > Sigurtà. Barra minn hekk, l-użu tal-HSTS (HTTP Strict Transport Security) biex ikompli jżid is-sigurtà tal-apparat huwa awtomatikament attivat biss meta l-apparat Axis jitħaddem fil-modalità HTTPS biss. HSTS huwa appoġġjat fil-2018 LTS (8.40), 2020 LTS (9.80) u l-binarju attiv AXIS OS 10.1.
L-iskaners tas-sigurtà jistgħu jenfasizzaw li l-apparat Axis li qed jiġi ttestjat huwa kkonfigurat biex jippermetti HTTP biss jew HTTP & HTTPS fl-istess ħin. L-iskoperta normalment titwettaq billi tiġi validata r-rispons minn u ċċekkjat l-istatus tal-port tal-port standard HTTP 80. Axis jirrakkomanda li tuża l-apparat fil-modalità HTTPS biss billi tikkonfigura dan kif xieraq. Bosta verifiki tal-iskaners tas-sigurtà jitwettqu fuq apparati Axis fejn din il-konfigurazzjoni speċifika HTTPS biss mhix infurzata billi l-apparat Axis jitħalla jirrispondi għal konnessjonijiet HTTP u/jew HTTPS.
Termini ta' rapport komuni

  • "Instab kanal mhux sikur HTTP (Port 80)..."
  • "Web Il-Portal Jippermetti Konnessjonijiet HTTP Mhux Kriptati B'Default...”
  • “Il-bogħod web server mhux qed jinforza l-HSTS, kif definit mill-RFC 6797...”
  • "Sigurtà insuffiċjenti tas-Saff tat-Trasport..."

Rimarki tal-ħardwer

Vulnerabbiltajiet tal-arkitettura
Sfond
Ċerti vulnerabbiltajiet jistgħu jiddependu fuq l-arkitettura tal-proċessur li apparat qed juża. L-apparati tat-tarf tal-assi, bħal kameras, encoders, prodotti li jintlibsu, awdjo u intercom, huma bbażati fuq arkitettura MIPS u ARM u, eż., mhumiex affettwati minn vulnerabbiltajiet ibbażati fuq arkitettura x64 jew x86.
Termini ta' rapport komuni

  • "Bug ta' overflow OpenSSL rsaz_512_sqr fuq x86_64 (CVE-2019-1551)..."
  • "X64_64 Montgomery squaring procedure..."

UART / console tas-serje
Sfond
Spezzjoni fiżika tal-ħardwer ta 'apparat Axis tista' tenfasizza l-eżistenza ta 'UART (Trasmettitur ta' Riċevitur Asinkroniku Universali) jew console tas-serje. Axis jirreferi għal dan bħala port debug. Il-port tad-debug jintuża biss għal skopijiet ta 'żvilupp u debugging waqt proġetti ta' inġinerija. Filwaqt li l-ebda informazzjoni sensittiva ma tiġi esposta waqt li ma tkunx awtentikata, l-aċċess għall-port tad-debug huwa ristrett mill-password u l-utent tal-għeruq biss jista’ jidħol. Minn AXIS OS 10.11 u 'l quddiem, il-console UART/serial hija diżattivata b'mod awtomatiku u tista' tiġi attivata biss wara li tinfetaħ permezz ta' ċertifikat tal-firmware tad-dwana uniku għall-apparat. Dan huwa pprovdut minn Axis biss u ma jistax jiġi ġġenerat bl-ebda mod ieħor. Termini ta' rapport komuni

  • "Żvelar ta' Informazzjoni permezz tal-UART/Serial Console..."
  • "Root Shell permezz tal-UART/Serial Console..."
  • "Fuq il-PCB, l-headers esponew console UART..."

Gwida tal-Iskaner tal-Vulnerabilità tal-AXIS OS © Axis Communications AB, 2022
Ver. M3.2 Data: Awwissu 2022
Nru tal-Parti.

Dokumenti / Riżorsi

AXIS OS Vulnerabilità Skaner [pdfGwida għall-Utent
Skaner tal-Vulnerabilità tal-OS, Skaner tal-OS, Skaner tal-Vulnerabbiltà, Skaner

Referenzi

Karigi Relatati

Ħalli kumment

L-indirizz elettroniku tiegħek mhux se jiġi ppubblikat. L-oqsma meħtieġa huma mmarkati *