AXIS OS pažeidžiamumo skaitytuvo vartotojo vadovas

AXIS OS pažeidžiamumo skaitytuvas
Vadovas

Įvadas

AXIS OS pažeidžiamumo skaitytuvo vadovas, skirtas Axis krašto įrenginiams
Pažeidžiamumas ir rizika
Visa programinė įranga turi spragų, kurias galima išnaudoti. Pažeidžiamumas automatiškai nesukels rizikos. Rizika apibrėžiama pagal tikimybę, kad grėsmė išnaudos pažeidžiamumą, ir galimą neigiamą poveikį, kurį gali padaryti sėkmingas išnaudojimas. Sumažinkite bet kurį iš dviejų ir sumažinsite riziką. Kibernetinis saugumas yra susijęs su rizikos valdymu, o riziką labai sunku pašalinti. Rizikos lygis priklauso nuo to, kaip įrenginys / programinė įranga yra įdiegta, valdoma ir valdoma. Poveikio sumažinimas (galimybės sumažinimas iki minimumo) yra veiksmingas būdas sumažinti riziką. „AXIS OS Hardening Guide“ aprašo keletą saugumo kontrolės priemonių ir rekomendacijų, kaip sumažinti riziką diegiant, naudojant ir prižiūrint „Axis“ įrenginį. Kai kuriuos pažeidžiamumus gali būti lengva išnaudoti, o kai kuriems gali prireikti didelio sudėtingumo, specialių įgūdžių rinkinio ir (arba) laiko bei ryžto. Dėl grėsmės reikia fizinės arba tinklo prieigos prie įrenginio.
Norint išnaudoti kai kuriuos pažeidžiamumus, reikia administratoriaus teisių. CVSS (bendra pažeidžiamumo vertinimo sistema) yra dažniausiai naudojama priemonė, padedanti nustatyti, kaip lengva išnaudoti pažeidžiamumą ir kokį galimą neigiamą poveikį. Šie balai dažnai pagrįsti programine įranga svarbiose sistemose arba programine įranga, kuri turi didelį poveikį vartotojams ir (arba) internetui. Axis stebi CVE (Common Vulnerabilities & Exposure) duomenų bazę, kuri skelbia žinomus programinės įrangos pažeidžiamumus CVE įrašams, susijusiems su atvirojo kodo paketais, naudojamais Axis įrenginiuose. Pažeidžiamumas, kurį „Axis“ nustato kaip ribotą riziką, bus pašalintas būsimuose programinės įrangos leidimuose. Pažeidžiamoms vietoms, kurias „Axis“ nustato kaip padidintą riziką, bus teikiama pirmenybė, todėl bus neplanuotai pataisyta programinė įranga arba paskelbtas saugos patarimas, informuojantis apie riziką ir rekomendacijas. Nuskaitymo įrankiai, pranešantys apie klaidingus teigiamus rezultatus
Nuskaitymo įrankiai paprastai bando nustatyti žinomus pažeidžiamumus, tirdami įrenginyje rastų programinės įrangos ir paketų versijų numerius. Visada yra galimybė, kad nuskaitymo įrankis praneš apie klaidingai teigiamą pastabą, o tai reiškia, kad įrenginys iš tikrųjų neturi pažeidžiamumo. Visas pastabas iš tokių nuskaitymo įrankių reikia išanalizuoti, kad būtų patvirtinta, ar jos iš tikrųjų taikomos įrenginiui. Turite įsitikinti, kad „Axis“ įrenginyje yra naujausia programinės aparatinės įrangos versija, nes jame gali būti pataisų, pašalinančių keletą pažeidžiamumų.

Taikymo sritis

Šis vadovas skirtas ir gali būti taikomas visiems AXIS OS pagrįstiems produktams, kuriuose veikia AXIS OS LTS arba aktyviojo takelio programinė įranga. Taip pat taikomi pasenę produktai, kuriuose veikia 4.xx ir 5.xx programinė įranga.
„Axis edge“ įrenginių operacinė sistema.

Greitos pradžios vadovas Greitos pradžios vadovas

Rekomenduojama reguliariai atlikti infrastruktūros, kurios dalis yra Axis įrenginys, ir paties Axis įrenginio pažeidžiamumo vertinimus. Šiuos pažeidžiamumo vertinimus paprastai atlieka tinklo saugos skaitytuvai. Pažeidžiamumo vertinimo tikslas – pateikti sistemingą review galimų saugumo spragų ir netinkamų konfigūracijų. Siekdami maksimaliai pagerinti nuskaitymo ataskaitos kokybę ir išvengti dažnų klaidų bei klaidingų teigiamų rezultatų, prieš nuskaitydami Axis įrenginį norime pabrėžti šias rekomendacijas.

• Įsitikinkite, kad AXIS OS ilgalaikio palaikymo (LTS) takelyje arba aktyviame takelyje Axis įrenginio programinė įranga yra atnaujinta pagal naujausią galimą leidimą. Naujausią turimą AXIS OS programinę-aparatinę įrangą galite atsisiųsti čia.
• AXIS OS sukietinimo vadove pateiktos rekomendacijos turėtų būti taikomos prieš nuskaitant, kad būtų išvengta klaidingų teigiamų rezultatų, taip pat įsitikinkite, kad Axis įrenginys veikia pagal Axis kibernetinio saugumo rekomendacijas.
• Rekomenduojama atlikti vadinamąjį kredencialų pažeidžiamumo nuskaitymą, kai, pvz., saugos skaitytuvui leidžiama prisijungti prie Axis įrenginio per HTTP(S) arba SSH. Kredencialais pagrįstas saugos nuskaitymas yra veiksmingesnis, nes nuskaitymo paviršius yra gerokai išplėstas.
• Pabrėžiame, kad svarbu atlikti pažeidžiamumo nuskaitymą naudojant nusistovėjusius partnerius, turinčius plačių žinių ir skirtą konkrečiai ašiai nuskaitymo rinkinį. plugins rinkoje, pavyzdžiui, Tenable, Rapid7, Qualys ar kt.

Dažniausios pastabos

Pasenę programinės įrangos komponentai
Fono saugos skaitytuvai pabrėžia, kai įrenginyje veikia pasenusi programinės įrangos komponento versija. Gali net atsitikti taip, kad saugos skaitytuvas negali nustatyti, kuri versija iš tikrųjų veikia, ir vis tiek pažymi ją. Apsaugos skaitytuvas tiesiog palygina programinės įrangos komponentų, veikiančių Axis įrenginyje, versiją su naujausia turima versija. Tada saugos skaitytuvas išveda saugos spragų sąrašą, net nepatvirtinus, kad bandomas įrenginys iš tikrųjų yra paveiktas. Tai pastebėta naudojant Linux branduolį, OpenSSL, Apache, BusyBox, OpenSSH, Curl, ir kiti.
Atvirojo kodo programinės įrangos komponentai per visą jų kūrimo eigą gauna naujų funkcijų, klaidų pataisymų ir saugos pataisų, todėl išleidimo ciklas yra ilgas. Todėl neretai bandomame Axis įrenginyje neveikia naujausia programinės įrangos komponento versija. Tačiau „Axis“ stebi atvirojo kodo programinės įrangos komponentus, ar nėra saugos spragų, kurias „Axis“ gali laikyti kritinėmis, ir atitinkamai juos paskelbs saugos patarime.
Bendrosios ataskaitos sąlygos

• „Nustatyta, kad buvo panaudota pažeidžiama Linux versija“
• „Pagal reklamjuostę, veikia Apache versija“
• „Pagal jos reklamjuostę, veikia OpenSSL versija...“
• „Serverio versijos atskleidimas (antraštė)...“

Rizika ir rekomendacijos
Nuo AXIS OS 10.6 ir naujesnės versijos galima išjungti OpenSSL ir Apache antraštės informaciją išjungus parametrą HTTP serverio antraštės komentarai, esantys Plain config > System. Dėl to saugos skaitytuvai gali neaptikti pažeidžiamumų, nes paketo versija nėra lengvai atpažįstama. „Axis“ primygtinai rekomenduoja nuolat atnaujinti įrenginio programinę-aparatinę įrangą ir ragina atlikti savo įrenginių saugos auditą.

Apache web serveris

Fonas
Ašies įrenginiai remiasi savo web sąsaja ir kt web- susijusios „Apache“ funkcijos web serveris. The web serveris Axis įrenginiuose pirmiausia naudojamas dviem scenarijais:

• Bendrosios paskirties mašinų tarpusavio ryšiui tarp Axis įrenginio ir sistemos, prie kurios jis prijungtas, dažniausiai vaizdo valdymo sistema, kuri pasiekia Axis įrenginį per API sąsajas, tokias kaip ONVIF ir VAPIX.
• Diegėjas, administratoriai ir galutinis vartotojas atlieka (pradinę) konfigūravimo ir priežiūros užduotis.

Apache web serveris yra modulinis atvirojo kodo paketas. Šiuose atskiruose moduliuose gali būti pažeidžiamumų. Toliau pateikiamas modulių, kurie dažniausiai įkeliami ir naudojami „Axis“ įrenginiuose, sąrašas:

Dažniausios pastabos

Pažeidžiamumas, taikomas tam tikram „Apache“ moduliui, turi būti įkeltas ir naudojamas „Axis edge“ įrenginyje. Neįkeliamų modulių pažeidžiamumas nėra aktualus.
Bendrosios ataskaitos sąlygos

• „Apache HTTPD: mod_proxy_ftp naudoja nepainicijuotą vertę (CVE-2020-1934)“

Rizika ir rekomendacijos
Apache pažeidžiamumas paprastai padidins pavojų visuomenei web viešiesiems vartotojams skirtų paslaugų internete. The web serverį Axis įrenginiuose turėtų naudoti tik montuotojai, administratoriai ir prižiūrėtojai. Nerekomenduojama, kad Axis įrenginiai būtų pasiekiami internetu, taip pat vartotojai neturėtų turėti privilegijų naudoti web naršyklę, kad galėtumėte pasiekti įrenginį atliekant kasdienes operacijas. Papildomi saugos valdikliai, pvz., IP lentelės, leidžiančios pasiekti tik patvirtintiems klientams ir išjungti / užkirsti kelią web naršyklės gali būti pritaikytos dar labiau sumažinti riziką.

OpenSSL

Fonas
„Axis“ įrenginiai naudoja OpenSSL kaip bendrą pagrindinį saugos komponentą, kad užtikrintų saugos funkcijas, pvz., HTTPS, sertifikato ir šifravimo naudojimo atvejais. „Pasenusi OpenSSL versija“ yra dažna „Axis“ įrenginių nuskaitymo pastaba, o „OpenSSL“ dažnai aptinkama naujų spragų.
Panašus į Apache web serveris, OpenSSL yra modulinė platforma; žr. toliau pateiktą modulių, kurių nenaudoja Axis produktai, sąrašą:

Pažeidžiamumas, taikomas tam tikram OpenSSL moduliui, turi būti įkeltas ir naudojamas „Axis edge“ įrenginio. Neįkeltų modulių pažeidžiamumas nėra svarbus, tačiau nuskaitymo įrankis vis tiek gali būti pažymėtas.
Rizika ir rekomendacijos OpenSSL pažeidžiamumas nekelia jokios rizikos, jei sistema nenaudoja tokių paslaugų kaip HTTPS arba 802.1x (TLS), SRTP (RTSPS) arba SNMPv3. Neįmanoma pažeisti paties įrenginio, nes galima ataka būtų nukreipta į TLS ryšius ir srautą. Norint išnaudoti OpenSSL pažeidžiamumą, reikalinga prieiga prie tinklo, didelis įgūdžių rinkinys ir didelis ryžtas.

Savarankiškai pasirašytas sertifikatas

Fonas
„Axis“ įrenginiuose yra savaime pasirašytas sertifikatas, kuris generuojamas automatiškai pirmą kartą paleidžiant, kad būtų suteikta galimybė pasiekti gaminį per šifruotą HTTPS ryšį ir tęsti pradinę produkto sąranką. Apsaugos skaitytuvai gali pabrėžti, kad savarankiškai pasirašytas sertifikatas yra nesaugus, todėl „Axis“ rekomenduoja pašalinti savarankiškai pasirašytą sertifikatą iš įrenginio ir pakeisti jį serverio sertifikatu, kuriuo patikima jūsų organizacija. Savarankiškai pasirašytas sertifikatas šiuo požiūriu suteikia konfidencialų ir saugų pradinės konfigūracijos mechanizmą, tačiau reikalauja, kad vartotojas vis tiek patikrintų paties įrenginio autentiškumą.
Bendrosios ataskaitos sąlygos

• „SSL sertifikatu negalima pasitikėti...“
• „SSL savarankiškai pasirašytas sertifikatas“
• „X.509 sertifikato subjekto CN nesutampa su subjekto pavadinimu...“

Rizika ir rekomendacijos
Savarankiškai pasirašyti sertifikatai užtikrina tinklo šifravimą, bet neapsaugo nuo „man-in-the-middle“ atakų (neįtikėtina paslauga, apsimetinėjanti teisėta tinklo paslauga). Jei naudojate tokias paslaugas kaip HTTPS arba 802.x, rekomenduojama naudoti sertifikatų institucijos (CA) pasirašytus sertifikatus. Juos turi pateikti sistemos savininkas, naudodamasis vieša arba privačia CA. Jei nenaudojate HTTPS arba 802.1x, nėra jokios rizikos, o pagrindinės OpenSSL pažeidžiamumas negali būti naudojamas siekiant pakenkti Axis įrenginiui. „Axis“ įrenginių funkcijose „Axis Edge Vault“ savarankiškai pasirašytas sertifikatas buvo pakeistas IEEE 802.1AR įrenginio ID sertifikatu.
RSA rakto ilgis
Fonas
Kadangi „Axis“ įrenginiuose yra iš anksto įkeltas savarankiškai pasirašytas sertifikatas, kai kurių įrenginių sertifikato rakto ilgis yra trumpesnis nei 2048 bitų. Sertifikatas taip pat yra nestandartinio bitų ilgio, kad būtų užtikrinta, jog dauguma patikimų CA atmes pasirašymo užklausą. Apsaugos skaitytuvai gali pabrėžti, kad tai nesaugu, todėl rekomenduojama šį sertifikatą pakeisti prieš diegiant gamybą, nes jis skirtas tik pradinei sąrankai.
Bendrosios ataskaitos sąlygos

• „SSL sertifikatų grandinėje yra RSA raktų, mažesnių nei 2048 bitai…“
• „RSA modulio ilgis X.509 sertifikate: 1536 bitai (mažiau nei 2048 bitai)...“

Rizika ir rekomendacijos
Šis pažeidžiamumas negali būti naudojamas norint pažeisti įrenginį. Numatytasis „Axis“ įrenginių savarankiškai pasirašyto rakto ilgis yra 1536 bitai, siekiant sumažinti ryšio delsą ir laiką, per kurį sugeneruojamas sertifikatas ir raktas. Šis rakto ilgis užtikrina pakankamai apsaugą atliekant administracines užduotis, pvz., įrenginio paskyros slaptažodžių nustatymą iš naujo ir pradinę Axis įrenginio sąranką. Numatytąjį sertifikatą rekomenduojama pakeisti CA pasirašytu sertifikatu, kurį turėtų pateikti sistemos savininkas.
Šifravimo nustatymai
Fonas
Reguliariai atnaujinant programinę-aparatinę įrangą, galimų „Axis“ įrenginio šifrų sąrašas gali gauti naujinimus nepakeitus tikrosios šifro konfigūracijos. Šifro konfigūracijos keitimą turi inicijuoti vartotojas, atlikdamas gamyklinius Axis įrenginio numatytuosius nustatymus arba rankiniu būdu konfigūruodamas naudotoją. Nuo AXIS OS 10.8 ir naujesnės versijos šifrų sąrašas automatiškai atnaujinamas, kai vartotojas inicijuoja programinės įrangos atnaujinimą.
Bendrosios ataskaitos sąlygos

• „Silpnas kriptografinis raktas…“
• „TLS/SSL serveris palaiko statinių raktų šifrų naudojimą...“

Jei įmanoma, HTTPS šifravimui visada rekomenduojama naudoti stipriausius šifrus.
TLS 1.2 ir senesnės versijos: kai naudojate TLS 1.2 ar senesnę versiją, galite nurodyti HTTPS šifrus, kurie bus naudojami skiltyje Paprasta konfigūracija > HTTPS > Šifrai, o po to iš naujo paleidžiamas „Axis“ įrenginys. „Axis“ rekomenduoja pasirinkti visus arba bet kurį iš toliau pateiktų kruopščiai apgalvotų šifrų (atnaujinta 2021 m. rugsėjo mėn.) arba patys atlikti norimą pasirinkimą.
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3: naudojant TLS 1.3, HTTPS šifrų parametras programoje Plain Config pagal numatytuosius nustatymus neveikia, bus pasirinkti tik stiprūs šifrai pagal TLS 1.3. Vartotojas negali pakeisti pasirinkimo ir, jei reikia, atnaujinamas atnaujinant programinę įrangą. Šiuo metu šifrai yra (atnaujinti 2021 m. rugsėjo mėn.):
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web serverio pastabos

Web serverio pastabos

Boa web serveris
Fonas
„Axis“ įrenginiai, kurių programinės aparatinės įrangos versija yra 5.65 ir senesnė, naudoja „Boa“. web serveris, skirtas web sąsaja ir web- susijusios funkcijos. The web serveris Axis įrenginiuose pirmiausia naudojamas dviem scenarijais:

• Bendrosios paskirties mašinų tarpusavio ryšiui tarp Axis įrenginio ir sistemos jis paprastai yra prijungtas prie vaizdo valdymo sistemos, kuri pasiekia Axis įrenginį per API sąsajas, tokias kaip ONVIF ir VAPIX.
• Konfigūravimo ir priežiūros užduotims, kurias atlieka montuotojai, administratoriai ir galutiniai vartotojai.

Panašus į naujesnį Apache web serveris, kurį naudoja Axis įrenginiai su naujesne programine įranga Boa web serveris gali būti paveiktas pažeidžiamumų. Apsaugos skaitytuvai gali neatpažinti web serveris, naudojamas senesniuose „Axis“ įrenginiuose, todėl tiesiog manys, kad šie įrenginiai naudoja „Apache“. web serveris. Pažeidžiamumas, taikomas „Apache“. web serveris netaikomas Boa web serveris pagal numatytuosius nustatymus, jei nenurodyta kitaip.
Bendrosios ataskaitos sąlygos

• „Pagal reklamjuostę, „Apache“ versija veikia...
• „Nuotoliniame pagrindiniame kompiuteryje įdiegta Apache HTTPd versija yra senesnė nei 2.4.46. Todėl jį veikia daugybė pažeidžiamumų…

Apache Struts ir Apache Tomcat
Fonas
Kaip aprašyta Apache web serveris 4 puslapyje , Axis įrenginiai grindžia savo web sąsaja ir websusijusias funkcijas atvirojo kodo „Apache“. web serveris. Kiti Apache skoniai web serveris yra, pvz., „Apache Struts“ arba „Tomcat“, tačiau jie nenaudojami „Axis“ įrenginiuose. „Axis“ naudoja paprastą atvirojo kodo „Apache“. web Apache Software Foundation (ASF) įdiegimas serveryje.
Bendrosios ataskaitos sąlygos

• „Apache Tomcat aptiktas pažeidžiamumas...“
• „Džakartos kelių dalių analizatorius Apache Struts...“

Web vartotojų seansų
Fono ašies įrenginiai remiasi savo web sąsaja ir kt web- susijusios „Apache“ funkcijos web serveris. The web serveris Axis įrenginiuose pirmiausia naudojamas dviem scenarijais:

• Bendrosios paskirties mašinų tarpusavio ryšiui tarp Axis įrenginio ir sistemos, prie kurios jis prijungtas, paprastai yra vaizdo valdymo sistema, kuri pasiekia Axis įrenginį per API sąsajas, tokias kaip ONVIF ir VAPIX.
• Kai montuotojas, administratoriai ir galutinis vartotojas atlieka (pradinę) konfigūravimo ir priežiūros užduotis.

Šiuo metu Axis įrenginiai nepalaiko tradicinių web naudotojais pagrįstus seansus, kai tai įmanoma web sesiją, pvz., atsijungti arba automatiškai pasibaigti po tam tikro vartotojo neveiklumo laiko, kai naršyklės langas atidarytas. Kiekvienas prašymas per web serveris Axis įrenginyje turi būti tinkamai autentifikuotas, kad būtų galima apdoroti prieš konkretų web sesija atvira tolesniam bendravimui. Norint aktyviai uždaryti a web sesija, naršyklė turi būti uždaryta.
Bendrosios ataskaitos sąlygos

• „Lietuvių naudotojų sesijos…“
• „Nepakankamas seanso nutraukimas ir galiojimo laikas…“
• „Programoje trūksta atsijungimo funkcijos...“

Rizika ir rekomendacijos
„Axis“ rekomenduoja pasiekti įrenginį naudojant programą, pvz., vaizdo įrašų valdymo sistemą (VMS), kaip pagrindinį vaizdo klientą, o ne naudoti web naršyklę, jei tai keltų susirūpinimą. Tačiau, jei web naršyklė yra vienintelė galima vaizdo programa, atsižvelkite į šias gaires:

• Nesilankykite pas nepatikimus websvetaines arba atvirus el. laiškus iš nepatikimų siuntėjų (tai, žinoma, yra bendra kibernetinės apsaugos rekomendacija).
• Norėdami sukonfigūruoti Axis įrenginį, naudokite kitą naršyklę, kuri nėra numatytoji sistemoje.
• Sukurti a viewer paskyrą įrenginyje ir naudokite tai, kai viewvaizdo įrašų sraute. The viewer paskyra turi minimalias privilegijas ir neturi teisių keisti Axis įrenginio konfigūracijos.
• Po konfigūracijos nepalikite atidarytos naršyklės be priežiūros, kad sumažintumėte atakos langą.

Programinės įrangos pastabos

Axis programinės aparatinės įrangos versijos eilutė
Fonas
„Axis“ atskleidžia pažeidžiamumą ir pateikia atnaujintą programinę-aparatinę įrangą su saugos pataisymais, kad klientai galėtų atnaujinti ir sumažinti galimą riziką. Saugos skaitytuvai paprastai atlieka tik ribotą programinės aparatinės įrangos versijos, kurioje veikia Axis produktas, palyginimą su senesne, pasenusia programine įranga, kurioje gali būti pažeidžiamumų. Apsaugos skaitytuvas gali tinkamai neatpažinti „Axis“ programinės įrangos, todėl skaitytuvas pažymės veikiančią programinę-aparatinę įrangą kaip pažeidžiamą arba nesaugią. Visada perskaitykite testuojamo gaminio programinės aparatinės įrangos versijos išleidimo pastabas, nes šiame dokumente išvardyti rimtų arba kritinių pažeidžiamumo pataisų sąrašai.
Tai gali sukelti painiavą, jei Axis įrenginyje veikia pasirinktinė programinės aparatinės įrangos versija arba jei saugos skaitytuvas nėra atnaujintas naudojant naujausią turimos Axis programinės įrangos informaciją. Žemiau yra keletas buvusiųamp„Axis“ programinės aparatinės įrangos versijos eilutės:

• 9.70 .1
• 9.70 .1_ beta
•  9.70 .1. 5

Bendrosios ataskaitos sąlygos

• „Axis Multiple Volnerabilities (ACV-128401)…“

Linux platinimas ir integruota paketų tvarkyklė
Fonas
Apsaugos skaitytuvai gali palaikyti vadinamąjį „kredencialų nuskaitymą“, naudojant prisijungimo duomenis per web prisijungti (HTTP) arba per priežiūros prieigą (SSH), kad gautumėte daugiau informacijos apie įrenginį, jo operacinę sistemą ir kitą programinę įrangą, kuri jame gali veikti. „Linux“ platinimas yra „Poky“ („OpenEmbedded“) versija su vietiniais ir ankstesniais pataisomis, kurios gali nesutapti arba gali būti atpažįstamos saugos skaitytuvo. Be to, saugos skaitytuvas gali tikėtis, kad bus naudojama paketų tvarkyklė, kuri nenaudojama „Axis“ produktuose.
Žemiau pateikiamas ašies naudojamo platinimo ir standartinio Linux platinimo pavadinimų schemos palyginimas. Atminkite, kad pastarąjį gali atpažinti saugos skaitytuvas ir praeiti, o „Axis“ versija – ne. Norėdami tai iliustruoti, turime konkrečiai ašiai būdingas 4.9.206 ašies ir Linux 54.9.206 bendrosios versijos eilutes.
Bendrosios ataskaitos sąlygos

• „Vietinės saugos patikros NĖRA įjungtos, nes nepalaikomas nuotolinis Linux platinimas...“

Nešifruota programinė įranga ir lustas
Fonas
Apsaugos skaitytuvai gali pabrėžti „Axis“ įrenginyje naudojamų „flash“ lustų naudojimą ir pažymėti juos arba filesistemos kaip tokios su „nešifruota“. „Axis“ įrenginiai užšifruoja vartotojo paslaptis, tokias kaip slaptažodžiai, sertifikatai, raktai ir kt files nebūtinai užšifruojant filesistema. Išimama vietinė saugykla, pvz., SD kortelės, yra šifruojama naudojant LUKS šifravimą.
Bendrosios ataskaitos sąlygos

• „Flash lustas, kuriame yra šaknis file įrenginio sistema nėra užšifruota…“
• „Informacija buvo išgauta iš nešifruoto programinės įrangos vaizdo, įskaitant…“.

Rizika ir rekomendacijos
Šis pažeidžiamumas negali būti naudojamas norint pažeisti įrenginį. Pagal numatytuosius nustatymus programinėje įrangoje nėra paslapčių ir jai nereikia jokios kitos apsaugos, išskyrus programinės įrangos parašą, kad būtų patvirtintas vientisumas. Dėl šifruotos programinės įrangos saugumo tyrinėtojams sunkiau nustatyti naujus (nežinomus) pažeidžiamumus, o pardavėjai gali naudoti šifruotą programinę įrangą, kad paslėptų apgalvotus trūkumus (saugumas per neaiškumą). „Axis“ įrenginiams reikalinga root prieiga, kad būtų galima pasiekti fileįrenginio sistemą, kad galėtumėte prie jo pasiekti. Skelbtina informacija, pvz., slaptažodžiai, saugoma užšifruota filesistemai ir išgauti reikia aukšto lygio sudėtingumo, įgūdžių, laiko ir ryžto. Įsitikinkite, kad naudojate stiprų root slaptažodį ir saugokite jį. Naudojant tą patį slaptažodį kelioms kameroms, valdymas supaprastinamas, tačiau padidėja rizika, kad vienos kameros saugumas bus pažeistas.
Bootloader
Fono saugos skaitytuvai gali manyti, kad jie nustatė „Axis“ įrenginiuose naudojamo įkrovos įkrovos diegimo markę ir modelį, todėl gali pabrėžti pažeidžiamumus, susijusius su saugia įkrova arba pačia įkrovos įkrova. „Axis“ tinklo vaizdo ir tinklo garso gaminiuose naudojamas vidinis įkrovos įkroviklis, vadinamas ir įkrovos / tinklo įkrova.
Bendrosios ataskaitos sąlygos

• „Aptiktas visų GRUB2 įkrovos įkrovos versijų pažeidžiamumas...“
• „Problema buvo aptikta Das U-Boot iki 2019.07...“

Tinklo pastabos

TCP/ICMP laikasamp atsakymą
Fonas
Nors TCP ir ICMP kartųamp informacija dažniausiai naudojama kaip tinklo priemonė, skirta pagrindinio kompiuterio našumui ir pasiekiamumui matuoti, ji taip pat gali būti naudojama ieškant su laiku susijusiai informacijai apie patį tinklo įrenginį. ICMP laikasamp informacija ICMP tipo 13 (timestamp užklausa) ir ICMP tipas 14 (laikasamp atsakymas) komunikacijoje pateikiama informacija, kurią būtų galima naudoti apskaičiuojant tikrąjį įrenginio laiką UTC. TCP laikasamp informacija gali būti naudojama skaičiuojant vadinamąją pirmyn ir atgal laiko (RTT) informaciją tarp dviejų tinklo pagrindinių kompiuterių, kuri leistų apskaičiuoti esamą Axis įrenginio veikimo laiką.
Apsaugos skaitytuvai gali pažymėti, kad egzistuoja TCP ir ICMP timestamp atsakymus iš Axis įrenginių ir rekomenduojame išjungti TCP ir ICMP timestamp atsakymus, kai tik įmanoma. „Axis“ vadovaujasi „Linux“ atvirojo kodo bendruomenės rekomendacija, kuri faktinės datos ir laiko informacijos, pateiktos iš šių atsakymų, savaime nelaiko saugumo rizika. Todėl TCP/ICMP laikasamp atsakymai vis dar įjungti pagal numatytuosius nustatymus. Be to, naujesnėse „Linux“ branduolio versijose faktinis skaičiavimas laikomas nepatikimu, nes atsakomosios priemonės užtikrina, kad datos ir laiko informacijos skaičiavimas tampa nepatikimas. Iki šiol (2022 m. vasario mėn.) nebuvo atskleista jokių žinomų pažeidžiamumų ar išnaudojimų, dėl kurių būtų galima išjungti šias paslaugas Axis įrenginiuose.
Bendrosios ataskaitos sąlygos

• „TCP kartusamp rastas atsakymas...“
• „ICMP kartusamp rastas atsakymas...“

HTTP(S), HSTS politika
Fonas
„Axis“ įrenginiai sukonfigūruoti pagal numatytuosius nustatymus, kad būtų galima prisijungti prie HTTP ir HTTPS. Norint atlikti pirmąją pradinę „Axis“ įrenginio konfigūraciją HTTPS režimu ir perjungti konfigūraciją, kad būtų galima naudoti tik HTTPS ryšius, rekomenduojama naudoti pirmojo įkrovos sugeneruotą savarankiškai pasirašytą sertifikatą. HTTPS gali būti vykdomas, pvz., iš web „Axis“ įrenginio sąsaja, eikite į „Nustatymai“ > „Sistema“ > „Sauga“. Be to, naudojant HSTS (HTTP Strict Transport Security), siekiant dar labiau padidinti įrenginio saugumą, automatiškai įjungiama tik tada, kai „Axis“ įrenginys veikia tik HTTPS režimu. HSTS palaikoma 2018 LTS (8.40), 2020 LTS (9.80) ir AXIS OS 10.1 aktyviajame takelyje.
Apsaugos skaitytuvai gali pabrėžti, kad bandomas „Axis“ įrenginys sukonfigūruotas taip, kad tuo pačiu metu būtų galima naudoti tik HTTP arba HTTP ir HTTPS. Paprastai aptikimas atliekamas patvirtinant atsakymą iš standartinio HTTP prievado 80 ir patikrinus prievado būseną. Axis rekomenduoja naudoti įrenginį HTTPS režimu tik atitinkamai sukonfigūruojant. Daugelis saugos skaitytuvo auditų atliekami „Axis“ įrenginiuose, kuriuose ši specifinė tik HTTPS konfigūracija neįgyvendinama, leidžiant „Axis“ įrenginiui reaguoti į HTTP ir (arba) HTTPS ryšius.
Bendrosios ataskaitos sąlygos

• „Aptiktas HTTP (80 prievadas) nesaugus kanalas…“
• „Web Portalas pagal numatytuosius nustatymus leidžia nešifruotus HTTP ryšius…
• „Nuotolinio valdymo pultas web serveris nevykdo HSTS, kaip apibrėžta RFC 6797…“
• „Nepakankamas transporto sluoksnio saugumas...“

Aparatūros pastabos

Architektūros pažeidžiamumas
Fonas
Tam tikri pažeidžiamumai gali priklausyti nuo įrenginio naudojamo procesoriaus architektūros. Ašies krašto įrenginiai, tokie kaip kameros, koduotuvai, nešiojami įrenginiai, garso ir domofono produktai, yra pagrįsti MIPS ir ARM architektūra ir, pvz., nėra paveikti x64 arba x86 architektūros pažeidžiamumų.
Bendrosios ataskaitos sąlygos

• „OpenSSL rsaz_512_sqr perpildymo klaida x86_64 (CVE-2019-1551)…“
• „x64_64 Montgomery kvadrato procedūra...“

UART / serijinė konsolė
Fonas
Fizinis „Axis“ įrenginio techninės įrangos patikrinimas gali parodyti, kad yra UART (universalus asinchroninis imtuvas) arba serijinė konsolė. Axis tai vadina derinimo prievadu. Derinimo prievadas naudojamas tik kūrimo ir derinimo tikslais inžinerinių projektų metu. Nors neskelbtina informacija neatskleidžiama, kol ji nėra autentifikuota, prieiga prie derinimo prievado yra apribota slaptažodžiu ir prisijungti gali tik pagrindinis vartotojas. Nuo AXIS OS 10.11 ir naujesnės versijos UART/serijinė konsolė pagal numatytuosius nustatymus yra išjungta ir ją galima įjungti tik ją atrakinant naudojant unikalų įrenginio programinės įrangos sertifikatą. Tai suteikia tik „Axis“ ir jokiu kitu būdu negalima sugeneruoti. Bendrosios ataskaitos sąlygos

• „Informacijos atskleidimas per UART/Serial Console...“
• „Root Shell per UART / serijos konsolę…“
• "PCB antraštės atskleidė UART konsolę..."

AXIS OS pažeidžiamumo skaitytuvo vadovas © Axis Communications AB, 2022 m
Ver. M3.2 Data: 2022 m. rugpjūčio mėn
Dalies Nr.