Guía del usuario de AXIS OS Vulnerability Scanner

AXIS OS Vulnerability Scanner - Featured Image

Logotipo de AXISEscáner de vulnerabilidades del sistema operativo AXIS
Guía

Introducción

AXIS OS Vulnerability Scanner - icono Guía de AXIS OS Vulnerability Scanner para dispositivos perimetrales de Axis
Vulnerabilidades y riesgos
Todo el software tiene vulnerabilidades que potencialmente podrían ser explotadas. Las vulnerabilidades no introducirán riesgos automáticamente. El riesgo se define por la probabilidad de que una amenaza explote una vulnerabilidad y el impacto negativo potencial que puede tener una explotación exitosa. Reduzca cualquiera de los dos y reducirá el riesgo. La ciberseguridad consiste en gestionar los riesgos, y los riesgos son muy difíciles de eliminar. El nivel de riesgo depende de cómo se implemente, opere y administre un dispositivo/software. Reducir la exposición (minimizar la oportunidad) es una forma eficaz de mitigar los riesgos. AXIS OS Hardening Guide describe varios controles de seguridad y recomendaciones para minimizar los riesgos al implementar, operar y mantener un dispositivo Axis. Algunas vulnerabilidades pueden ser fáciles de explotar, mientras que otras pueden requerir un alto nivel de sofisticación, un conjunto de habilidades especiales y/o tiempo y determinación. Una amenaza requiere acceso físico o de red al dispositivo.
Algunas vulnerabilidades requieren privilegios de administrador para ser explotadas. El CVSS (Common Vulnerability Scoring System) es una medida comúnmente utilizada para ayudar a determinar qué tan fácil es explotar una vulnerabilidad y el posible impacto negativo. Estos puntajes a menudo se basan en software en sistemas críticos o software que tiene una alta exposición a los usuarios y/o Internet. Axis supervisa la base de datos CVE (vulnerabilidades y exposiciones comunes) que publica vulnerabilidades conocidas en el software para las entradas CVE que se relacionan con los paquetes de código abierto utilizados en los dispositivos Axis. Las vulnerabilidades que Axis identifica como riesgo limitado se solucionarán en futuras versiones de firmware. Las vulnerabilidades que Axis identifique como un mayor riesgo se tratarán con prioridad, lo que dará como resultado un parche de firmware no programado o la publicación de un aviso de seguridad que informa sobre el riesgo y las recomendaciones. Herramientas de escaneo que reportan falsos positivos
Las herramientas de escaneo generalmente intentarán identificar vulnerabilidades conocidas al examinar los números de versión del software y los paquetes que se encuentran en un dispositivo. Siempre existe la posibilidad de que una herramienta de escaneo informe un comentario falso positivo, lo que significa que el dispositivo en realidad no tiene la vulnerabilidad. Todos los comentarios de dichas herramientas de escaneo deben analizarse para validar que, de hecho, se aplican al dispositivo. Debe asegurarse de que el dispositivo Axis tenga la última versión de firmware, ya que puede incluir parches que abordan varias vulnerabilidades.

Alcance

Esta guía está escrita y se puede aplicar a todos los productos basados ​​en AXIS OS que ejecutan un AXIS OS LTS o firmware de seguimiento activo. Los productos heredados que ejecutan firmware 4.xx y 5.xx también están incluidos.
AXIS OS Vulnerability Scanner - icono El sistema operativo para dispositivos perimetrales de Axis.

Guía de inicio rápido Guía de inicio rápido

Se recomienda realizar evaluaciones periódicas de vulnerabilidad de la infraestructura de la que forma parte el dispositivo Axis, así como del propio dispositivo Axis. Estas evaluaciones de vulnerabilidad generalmente las realizan escáneres de seguridad de red. El propósito de una evaluación de vulnerabilidad es proporcionar una revisión sistemáticaview de posibles vulnerabilidades de seguridad y configuraciones incorrectas. Nos gustaría enfatizar las siguientes recomendaciones antes de escanear el dispositivo Axis en busca de vulnerabilidades para maximizar la calidad del informe de escaneo y evitar errores comunes y falsos positivos.

  • Asegúrese de que el firmware del dispositivo Axis esté actualizado con la última versión disponible, ya sea en la pista de soporte a largo plazo (LTS) de AXIS OS o en la pista activa. El firmware AXIS OS más reciente disponible se puede descargar aquí.
  • Las recomendaciones de AXIS OS Hardening Guide deben aplicarse antes de escanear para evitar falsos positivos y asegurarse de que el dispositivo Axis funcione de acuerdo con las recomendaciones de ciberseguridad de Axis.
  • Se recomienda realizar un análisis de vulnerabilidad con credenciales en el que, por ejemplo, el análisis de seguridad puede iniciar sesión en el dispositivo Axis a través de HTTP(S) o SSH. Un escaneo de seguridad acreditado es más efectivo ya que la superficie de escaneo se amplía significativamente.
  • Hacemos hincapié en la importancia de realizar el análisis de vulnerabilidades utilizando socios bien establecidos con un amplio conocimiento y un conjunto dedicado de análisis específico de Axis. plugins en el mercado, como Tenable, Rapid7, Qualys u otros.

Observaciones más comunes

Componentes de software obsoletos
Los escáneres de seguridad en segundo plano resaltan cuando un dispositivo está ejecutando una versión obsoleta de un componente de software. Incluso puede ocurrir que el escáner de seguridad no pueda determinar qué versión se está ejecutando realmente y la marque de todos modos. El escáner de seguridad simplemente compara la versión de los componentes de software que se ejecutan en el dispositivo Axis con la última versión disponible. Luego, el escáner de seguridad genera una lista de vulnerabilidades de seguridad, incluso sin confirmar que el dispositivo que se está probando está realmente afectado como tal. Esto se ha observado con el kernel de Linux, OpenSSL, Apache, BusyBox, OpenSSH, Curl, y otros.
Los componentes de software de código abierto reciben nuevas funciones, correcciones de errores y parches de seguridad a lo largo de su desarrollo, lo que da como resultado un ciclo de lanzamiento elevado. Por lo tanto, no es raro que el dispositivo Axis que se está probando no esté ejecutando la última versión de un componente de software. Sin embargo, Axis está monitoreando los componentes de software de código abierto en busca de vulnerabilidades de seguridad que Axis podría considerar potencialmente críticas y las publicará en consecuencia en un aviso de seguridad.
Términos comunes del informe

  • “Se descubrió que se utilizaba una versión vulnerable de Linux”
  • “Según su banner, la versión de Apache en ejecución”
  • “Según su banner, la versión de OpenSSL en ejecución…”
  • “Divulgación de la versión del servidor (encabezado)…”

Riesgo y recomendaciones
A partir de AXIS OS 10.6 y posteriores, es posible deshabilitar la información del encabezado OpenSSL y Apache al deshabilitar el parámetro Comentarios del encabezado del servidor HTTP en Configuración simple > Sistema. Esto puede dar lugar a que los escáneres de seguridad no detecten las vulnerabilidades, ya que la versión del paquete no es fácilmente identificable. Axis recomienda encarecidamente mantener actualizado el firmware del dispositivo y le anima a realizar auditorías de seguridad en sus dispositivos.

apache web servidor

Fondo
Los dispositivos de Axis basan su web interfaz y otros web-funcionalidad relacionada en el Apache web servidor. La web El servidor en dispositivos Axis se utiliza principalmente en dos escenarios:

  • Para la comunicación de máquina a máquina de propósito general entre el dispositivo Axis y el sistema, generalmente se conecta a un sistema de administración de video que accede al dispositivo Axis a través de interfaces API como ONVIF y VAPIX.
  • El instalador, los administradores y el usuario final realizan tareas de configuración y mantenimiento (inicial).

El apache web server es un paquete de código abierto basado en módulos. Estos módulos individuales pueden contener vulnerabilidades. A continuación se muestra una lista de módulos que se cargan y utilizan comúnmente en dispositivos Axis:

core_module (estático) unixd_module (compartido) authn_core_module (compartido) proxy_fcgi_module (compartido) autor codificado_usuario_file_módulo (compartido)
so_module (estático) alias_module (compartido) módulo de núcleo de autenticación (compartido) proxy_http_module (compartido) módulo de acceso de autenticación (compartido)
filter_module (estático) módulo de reescritura (compartido) auténtico file módulo (compartido) proxy_wstunnel_module (compartido) trax_module (compartido)
brotli_module (estático) cgid_module (compartido) módulo de usuario authz (compartido) módulo de encabezados (compartido) iptos_module (compartido)
http_module (estático) log_config_module (compartido) authz_owner_module (compartido) http2_module (compartido) axsyslog_module (compartido)

Observaciones más comunes

suexec_module (estático) setenvif_module (compartido) auth_digest_module (compartido) systemd_module (compartido) ws_module (compartido)
mime_module (compartido) ssl_module (compartido) auth_basic_module (compartido) módulo authn axisbasic (compartido)
mpm_worker_module (compartido) socache_shmcb_module (compartido) módulo_proxy (compartido) grupo_authz_axisfile_módulo (compartido)

Una vulnerabilidad que se aplica a un determinado módulo en Apache debe ser cargada y utilizada por el dispositivo perimetral de Axis. Las vulnerabilidades de los módulos que no están cargados no son relevantes.
Términos comunes del informe

  • “Apache HTTPD: mod_proxy_ftp uso de valor no inicializado (CVE-2020-1934)”

Riesgo y recomendaciones
Las vulnerabilidades de Apache generalmente aumentarán el riesgo para el público web servicios expuestos a Internet dirigidos a usuarios públicos. los web El servidor en dispositivos Axis solo debe ser utilizado por instaladores, administradores y mantenedores. No se recomienda exponer los dispositivos Axis para que sean accesibles a través de Internet, ni los usuarios deben tener privilegios para usar un web navegador para acceder a un dispositivo durante las operaciones diarias. Controles de seguridad adicionales, como tablas de IP, que solo permiten el acceso a clientes aprobados y deshabilitan/previenen web Se pueden aplicar navegadores de acceso para reducir aún más los riesgos.

OpenSSL

Fondo
Los dispositivos de Axis utilizan OpenSSL como un componente central de seguridad común para proporcionar funcionalidad de seguridad para, por ejemplo, HTTPS, certificados y casos de uso de cifrado. “Versión obsoleta de OpenSSL” es un comentario de exploración común en los dispositivos Axis, y con frecuencia se descubren nuevas vulnerabilidades en OpenSSL.
Similar al apache web servidor, OpenSSL es una plataforma modular; Consulte a continuación una lista de módulos que no utilizan los productos de Axis:

sin camelia sin latidos no-mdc2 sin SRP
sin tapar no-hw no-rc5 sin subprocesos
sin fechas ni idea sin SCTP
no-dtls1 no-md2 sin semilla

Una vulnerabilidad que se aplica a un determinado módulo en OpenSSL debe ser cargada y utilizada por el dispositivo perimetral de Axis. Las vulnerabilidades de los módulos que no están cargados no son relevantes, pero la herramienta de análisis aún puede marcarlos.
Riesgo y recomendaciones Las vulnerabilidades en OpenSSL no suponen ningún riesgo si el sistema no utiliza servicios como HTTPS o 802.1x (TLS), SRTP (RTSPS) o SNMPv3. No es posible comprometer el dispositivo en sí, ya que un ataque potencial apuntaría a las conexiones y el tráfico TLS. Explotar las vulnerabilidades de OpenSSL requiere acceso a la red, un alto conjunto de habilidades y mucha determinación.

Certificado autofirmado

Fondo
Los dispositivos Axis vienen con un certificado autofirmado que se genera automáticamente en el primer arranque para brindar la posibilidad de acceder al producto a través de una conexión HTTPS cifrada y continuar con la configuración inicial del producto. Los escáneres de seguridad pueden resaltar la existencia del certificado autofirmado como inseguro y Axis recomienda eliminar el certificado autofirmado del dispositivo y reemplazarlo con un certificado de servidor de confianza en su organización. El certificado autofirmado proporciona en ese sentido un mecanismo confidencial y seguro para la configuración inicial, pero requiere que el usuario aún verifique la autenticidad del dispositivo.
Términos comunes del informe

  • "No se puede confiar en el certificado SSL..."
  • “Certificado autofirmado SSL”
  • "El CN del asunto del certificado X.509 no coincide con el nombre de la entidad..."

Riesgo y recomendaciones
Los certificados autofirmados proporcionan cifrado de red, pero no protegen contra ataques de intermediarios (un servicio falso que se hace pasar por un servicio de red legítimo). Si usa servicios como HTTPS o 802.x, se recomienda usar certificados firmados por la autoridad certificadora (CA). Estos deben ser proporcionados por el propietario del sistema mediante una CA pública o privada. Si no usa HTTPS o 802.1x, no hay riesgos, y las vulnerabilidades en el OpenSSL subyacente no se pueden usar para comprometer el dispositivo Axis. Para los dispositivos Axis que cuentan con Axis Edge Vault, el certificado autofirmado se reemplazó por el certificado de ID de dispositivo IEEE 802.1AR.
Longitud de la clave RSA
Fondo
Dado que los dispositivos Axis vienen con un certificado autofirmado precargado, algunos dispositivos tienen una longitud de clave más corta para el certificado que los 2048 bits. El certificado también tiene una longitud de bits no estándar para garantizar que las CA de mayor reputación rechacen una solicitud de firma de este. Los escáneres de seguridad pueden resaltar esto como inseguro y se recomienda reemplazar este certificado antes de la implementación de producción, ya que solo está diseñado para la configuración inicial.
Términos comunes del informe

  • "La cadena de certificados SSL contiene claves RSA de menos de 2048 bits..."
  • “Longitud del módulo RSA en el certificado X.509: 1536 bits (menos de 2048 bits)…”

Riesgo y recomendaciones
Esta vulnerabilidad no se puede utilizar para comprometer el dispositivo. La longitud de clave autofirmada predeterminada de los dispositivos Axis se establece en 1536 bits para reducir la latencia de la conexión y el tiempo para generar el certificado y la clave. Esta longitud de clave brinda suficiente protección para tareas administrativas, como restablecer contraseñas de cuentas de dispositivos y la configuración inicial del dispositivo Axis. Se recomienda reemplazar el certificado predeterminado con un certificado firmado por una CA que debe proporcionar el propietario del sistema.
Configuración de cifrado
Fondo
Durante las actualizaciones regulares de firmware, la lista de cifrados disponibles del dispositivo Axis puede recibir actualizaciones sin que se cambie la configuración de cifrado real. El cambio de la configuración de cifrado debe ser iniciado por el usuario, ya sea realizando una configuración predeterminada de fábrica del dispositivo Axis o mediante la configuración manual del usuario. A partir de AXIS OS 10.8 y posteriores, la lista de cifrados se actualiza automáticamente cuando el usuario inicia una actualización de firmware.
Términos comunes del informe

  • “Clave criptográfica débil…”
  • “El servidor TLS/SSL admite el uso de cifrados de clave estática…”

Se recomienda utilizar siempre los cifrados más fuertes para el cifrado HTTPS cuando sea posible.
TLS 1.2 y versiones anteriores: al usar TLS 1.2 o versiones anteriores, puede especificar los cifrados HTTPS que se usarán en Configuración simple > HTTPS > Cifrados seguido de un reinicio del dispositivo Axis. Axis recomienda seleccionar todos o cualquiera de los siguientes cifrados de consideración sólida (actualizados en septiembre de 2021), o hacer la selección deseada por su cuenta.
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3: cuando se usa TLS 1.3, el parámetro de cifrado HTTPS en Plain Config no tiene ningún efecto por defecto, solo se seleccionarán cifrados seguros de acuerdo con TLS 1.3. El usuario no puede cambiar la selección y se actualiza a través de una actualización de firmware si es necesario. Actualmente, los cifrados son (actualizados en septiembre de 2021):
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web comentarios del servidor

Web comentarios del servidor

Boa web servidor
Fondo
Los dispositivos Axis con versión de firmware 5.65 e inferior utilizan el Boa web servidor para el web interfaz y web-funcionalidad relacionada. los web El servidor en dispositivos Axis se utiliza principalmente en dos escenarios:

  • Para la comunicación de máquina a máquina de propósito general entre el dispositivo Axis y el sistema, generalmente se conecta a un sistema de administración de video que accede al dispositivo Axis a través de interfaces API como ONVIF y VAPIX.
  • Para tareas de configuración y mantenimiento realizadas por instaladores, administradores y usuarios finales.

Similar al Apache más nuevo web servidor que utilizan los dispositivos Axis con firmware más reciente, el Boa web servidor puede verse afectado por vulnerabilidades. Es posible que los escáneres de seguridad no reconozcan el web servidor utilizado en dispositivos Axis más antiguos y, por lo tanto, simplemente asumirá que estos dispositivos utilizan Apache web servidor. Una vulnerabilidad que se aplica a Apache web server no aplica para la boa web servidor por defecto si no se indica lo contrario.
Términos comunes del informe

  • “Según su banner, la versión de Apache que se está ejecutando…”
  • “La versión de Apache HTTPd instalada en el host remoto es anterior a la 2.4.46. Está, por tanto, afectado por múltiples vulnerabilidades…”

Apache Struts y Apache Tomcat
Fondo
Como se describe en Apache web servidor en la página 4, los dispositivos Axis basan su web interfaz y webFuncionalidad relacionada con Apache de código abierto. web servidor. Otros sabores del Apache web existen servidores, como Apache Struts o Tomcat, pero no se utilizan en los dispositivos Axis. Axis utiliza Apache simple de código abierto web implementación de servidor de Apache Software Foundation (ASF).
Términos comunes del informe

  • “Se ha descubierto una vulnerabilidad en Apache Tomcat…”
  • “El analizador multiparte de Yakarta en Apache Struts…”

Web sesiones de usuario
Antecedentes Los dispositivos Axis basan su web interfaz y otros web-funcionalidad relacionada en el Apache web servidor. La web El servidor en dispositivos Axis se utiliza principalmente en dos escenarios:

  • Para la comunicación de máquina a máquina de propósito general entre el dispositivo Axis y el sistema, generalmente se conecta a un sistema de administración de video que accede al dispositivo Axis a través de interfaces API como ONVIF y VAPIX.
  • Cuando el instalador, los administradores y el usuario final realizan tareas de configuración y mantenimiento (inicial).

Actualmente, los dispositivos Axis no son compatibles con los tradicionales web sesiones basadas en el usuario donde es posible para el web sesión para, por ejemplo, cerrar sesión o caducar automáticamente después de un cierto tiempo de inactividad del usuario mientras la ventana del navegador está abierta. Cada solicitud a través de la web El servidor en un dispositivo Axis debe autenticarse correctamente para poder procesarse antes de la fecha específica. web sesión está abierta para más comunicación. Para cerrar activamente un web sesión, el navegador tiene que estar cerrado.
Términos comunes del informe

  • “Sesiones de usuario simultáneas…”
  • “Terminación y vencimiento de sesión insuficientes…”
  • "La aplicación carece de la función de cierre de sesión..."

Riesgo y recomendaciones
Axis recomienda acceder al dispositivo a través de una aplicación, como un sistema de administración de video (VMS), como el cliente de video principal en lugar de usar el web navegador si esto sería motivo de preocupación. Sin embargo, si el web browser es el único cliente de video disponible, tenga en cuenta las siguientes pautas:

  • No visites sitios que no sean de confianza websitios o correos electrónicos abiertos de remitentes no confiables (esta es, por supuesto, una recomendación general de protección cibernética).
  • Utilice un navegador diferente, que no sea el predeterminado del sistema, para configurar el dispositivo Axis.
  • Crear un viewer cuenta en el dispositivo y usar esto cuando viewing la transmisión de vídeo. los viewSu cuenta tiene privilegios mínimos y no tiene derechos para cambiar la configuración del dispositivo Axis.
  • No deje el navegador abierto desatendido después de la configuración para minimizar la ventana de ataque.

Comentarios sobre el firmware

Cadena de versión de firmware del eje
Fondo
Axis revela vulnerabilidades y proporciona firmware actualizado con correcciones de seguridad para que los clientes puedan actualizar y mitigar los riesgos potenciales. Los escáneres de seguridad generalmente solo realizan una comparación limitada de la versión de firmware que el producto de Axis está ejecutando con el firmware más antiguo y desactualizado que puede contener vulnerabilidades. Es posible que un escáner de seguridad no reconozca correctamente el firmware de Axis, lo que hace que el escáner marque el firmware que se está ejecutando como vulnerable o inseguro. Consulte siempre las notas de la versión de la versión de firmware del producto que se está probando, ya que en este documento se enumeran los parches de vulnerabilidad graves o críticos.
Puede causar confusión si el dispositivo Axis ejecuta una versión de firmware personalizada o si el escáner de seguridad no está actualizado con la información más reciente del firmware Axis disponible. A continuación se muestran algunos exampArchivos de cadenas de versiones de firmware de Axis:

  • 9.70 .1
  • 9.70 .1_beta
  •  9.70. 1

Términos comunes del informe

  • “Vulnerabilidades múltiples de Axis (ACV-128401)…”

Distribución de Linux y administrador de paquetes incorporado
Fondo
Los escáneres de seguridad pueden admitir el llamado "escaneo con credenciales" utilizando datos de inicio de sesión a través de web inicio de sesión (HTTP) o mediante acceso de mantenimiento (SSH) para obtener más información sobre el dispositivo, su sistema operativo y otro software que pueda ejecutarse en él. La distribución de Linux es una versión Poky (OpenEmbedded) con parches locales y ascendentes que pueden no coincidir o ser reconocidos como tales por el escáner de seguridad. Además, el escáner de seguridad puede esperar el uso de un administrador de paquetes, que no se usa en los productos de Axis.
A continuación se muestra una comparación del esquema de nombres entre la distribución utilizada por Axis y una distribución estándar de Linux. Tenga en cuenta que este último puede ser reconocido por el escáner de seguridad y pasar, mientras que la versión de Axis no. Para ilustrar esto, tenemos las cadenas de versión 4.9.206-axis específicas de Axis y genéricas de Linux 54.9.206.
Términos comunes del informe

  • "Las comprobaciones de seguridad locales NO se han habilitado porque la distribución remota de Linux no es compatible..."

Firmware y chip sin cifrar
Fondo
Los escáneres de seguridad pueden resaltar el uso de chips flash utilizados en el dispositivo Axis y marcarlos o marcarlos. filesistemas como tales con "sin cifrar". Los dispositivos de Axis cifran los secretos de los usuarios, como contraseñas, certificados, claves y otros files sin necesariamente encriptar el filesistema. El almacenamiento local extraíble, como las tarjetas SD, se cifra mediante el cifrado LUKS.
Términos comunes del informe

  • “El chip flash que contiene la raíz file El sistema del dispositivo no está encriptado…”.
  • "Se extrajo información de la imagen de firmware sin cifrar, que incluye..."

Riesgo y recomendaciones
Esta vulnerabilidad no se puede utilizar para comprometer el dispositivo. El firmware no contiene ningún secreto de forma predeterminada y no necesita otra protección que la firma del firmware para validar la integridad. El software encriptado dificulta que los investigadores de seguridad identifiquen nuevas vulnerabilidades (desconocidas), y los proveedores pueden usar software encriptado para ocultar fallas deliberadas (seguridad a través de la oscuridad). Para los dispositivos Axis, se requiere acceso raíz para acceder al filesistema del dispositivo para acceder a él. La información confidencial, como las contraseñas, se almacena encriptada en el filesistema y requieren un alto nivel de sofisticación, conjunto de habilidades, tiempo y determinación para extraer. Asegúrese de usar una contraseña raíz segura y manténgala protegida. El uso de la misma contraseña para varias cámaras simplifica la administración, pero aumenta el riesgo si se compromete la seguridad de una cámara.
Cargador de arranque
Antecedentes Los escáneres de seguridad pueden creer que han identificado la marca y el modelo de la implementación del cargador de arranque que se usa en los dispositivos de Axis y, por lo tanto, podrían resaltar las vulnerabilidades relacionadas con el arranque seguro o el propio cargador de arranque. Los productos de audio y vídeo en red de Axis utilizan un gestor de arranque desarrollado internamente denominado y boot/netboot.
Términos comunes del informe

  • “Se ha detectado una vulnerabilidad en todas las versiones del gestor de arranque GRUB2…”
  • "Se descubrió un problema en Das U-Boot hasta el 2019.07..."

comentarios de la red

Tiempo de TCP/ICMPamp respuesta
Fondo
Mientras TCP e ICMP cronometranamp La información se usa con mayor frecuencia como herramientas de red para medir el rendimiento y la disponibilidad de los hosts, también se puede usar para encontrar información relacionada con el tiempo sobre el dispositivo de red en sí. El tiempo ICMPamp información en ICMP tipo 13 (timestamp solicitud) y ICMP tipo 14 (timestamp respuesta) proporciona información que podría usarse para calcular la hora real del dispositivo en UTC. El tiempo de TCPamp la información se puede utilizar para calcular la llamada información de tiempo de ida y vuelta (RTT) entre dos hosts de red, lo que permitiría calcular el tiempo de actividad actual del dispositivo Axis.
Los escáneres de seguridad pueden señalar la existencia de TCP e ICMP timestamp respuestas de los dispositivos Axis y recomendar desactivar TCP e ICMP timestamp respuestas siempre que sea posible. Axis sigue la recomendación de la comunidad de código abierto de Linux, que no considera la información de fecha/hora real proporcionada por estas respuestas como un riesgo de seguridad en sí mismo. Por lo tanto, el timest de TCP/ICMPamp las respuestas aún están habilitadas de forma predeterminada. Además, en las versiones más recientes del Kernel de Linux, el cálculo real se considera poco fiable, ya que las contramedidas garantizan que no sea fiable calcular la información de fecha/hora. A fecha de hoy (febrero de 2022), no se han revelado vulnerabilidades o exploits conocidos que justifiquen la desactivación de estos servicios en los dispositivos de Axis.
Términos comunes del informe

  • “Tiempo TCPamp respuesta encontrada…”
  • “Tiempo ICMPamp respuesta encontrada…”

HTTP(S), política HSTS
Fondo
Los dispositivos Axis están configurados de forma predeterminada para permitir conexiones HTTP y HTTPS. Se recomienda utilizar el certificado autofirmado generado en el primer arranque para realizar la primera configuración inicial del dispositivo Axis en modo HTTPS y cambiar la configuración para permitir solo conexiones HTTPS. HTTPS se puede aplicar, por ejemplo, desde el web interfaz del dispositivo Axis siguiendo Configuración > Sistema > Seguridad. Además, el uso de HSTS (HTTP Strict Transport Security) para aumentar aún más la seguridad del dispositivo se habilita automáticamente solo cuando el dispositivo Axis funciona en modo solo HTTPS. HSTS es compatible con 2018 LTS (8.40), 2020 LTS (9.80) y la pista activa AXIS OS 10.1.
Los escáneres de seguridad pueden resaltar que el dispositivo Axis que se está probando está configurado para permitir solo HTTP o HTTP y HTTPS al mismo tiempo. La detección generalmente se realiza validando la respuesta y verificando el estado del puerto HTTP estándar 80. Axis recomienda usar el dispositivo en modo HTTPS solo configurando esto en consecuencia. Muchas auditorías de exploración de seguridad se realizan en dispositivos Axis donde esta configuración específica de solo HTTPS no se aplica al permitir que el dispositivo Axis responda a conexiones HTTP y/o HTTPS.
Términos comunes del informe

  • "Se detectó un canal no seguro HTTP (Puerto 80)..."
  • “Web El portal permite conexiones HTTP sin cifrar de forma predeterminada…”
  • "El mando a distancia web el servidor no aplica HSTS, según lo definido por RFC 6797..."
  • “Seguridad de la capa de transporte insuficiente…”

Observaciones de hardware

Vulnerabilidades de la arquitectura
Fondo
Ciertas vulnerabilidades pueden depender de la arquitectura del procesador que utiliza un dispositivo. Los dispositivos perimetrales de Axis, como cámaras, codificadores, dispositivos portátiles, audio y productos de intercomunicación, se basan en la arquitectura MIPS y ARM y, por ejemplo, no se ven afectados por las vulnerabilidades basadas en la arquitectura x64 o x86.
Términos comunes del informe

  • "Error de desbordamiento de OpenSSL rsaz_512_sqr en x86_64 (CVE-2019-1551)..."
  • “x64_64 Procedimiento de cuadratura de Montgomery…”

Consola UART/Serie
Fondo
La inspección física del hardware de un dispositivo Axis puede resaltar la existencia de un UART (transmisor receptor asíncrono universal) o una consola serie. Axis se refiere a esto como un puerto de depuración. El puerto de depuración solo se usa con fines de desarrollo y depuración durante los proyectos de ingeniería. Si bien no se expone información confidencial mientras no está autenticado, el acceso al puerto de depuración está restringido por contraseña y solo el usuario raíz puede iniciar sesión. A partir de AXIS OS 10.11 y posteriores, la consola serie/UART está deshabilitada de forma predeterminada y solo se puede habilitar después de desbloquearla a través de un certificado de firmware personalizado exclusivo del dispositivo. Solo lo proporciona Axis y no se puede generar de ninguna otra manera. Términos comunes del informe

  • “Divulgación de información a través de UART/Serial Console…”
  • "Root Shell a través de UART/Serial Console..."
  • “En la PCB, los encabezados expusieron una consola UART…”

Guía del escáner de vulnerabilidades del sistema operativo AXIS © Axis Communications AB, 2022
versión M3.2 Fecha: agosto de 2022
Nro. de pieza

Documentos / Recursos

PDF thumbnailEscáner de vulnerabilidades del sistema operativo
User Guide · OS Vulnerability Scanner, OS Scanner, Vulnerability Scanner, Scanner

Referencias

Haz una pregunta

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

Haz una pregunta

Ask about setup, compatibility, troubleshooting, or anything missing from this manual. Name and email are optional.