AXIS logoAXIS OS haavatavuse skanner
Juhend

Sisu peita
1 Sissejuhatus
2 Ulatus
3 Kiirjuhend Kiirjuhend
4 Levinumad märkused
5 Apache web server
6 Levinumad märkused
7 OpenSSL
8 Ise allkirjastatud sertifikaat
9 Web serveri märkused
10 Püsivara märkused
11 Võrgumärkused
12 Riistvara märkused
13 Dokumendid / Ressursid
13.1 Viited
14 Seotud postitused

Sissejuhatus

AXIS OS haavatavuse skanner – ikoon AXIS OS haavatavuse skanneri juhend Axis edge seadmete jaoks
Haavatavused ja riskid
Kogu tarkvaral on turvaauke, mida saab potentsiaalselt ära kasutada. Haavatavused ei too automaatselt kaasa ohtu. Riski määratletakse tõenäosusega, et oht kasutab haavatavust ja võimalikku negatiivset mõju, mida edukas ärakasutamine võib avaldada. Vähendage ühte kahest ja vähendate riski. Küberturvalisus seisneb riskide maandamises ja riske on väga raske kõrvaldada. Riskitase sõltub sellest, kuidas seade/tarkvara kasutusele võetakse, käitatakse ja hallatakse. Kokkupuute vähendamine (võimaluse minimeerimine) on tõhus viis riskide maandamiseks. AXIS OS Hardening Guide kirjeldab mitmeid turvakontrolle ja soovitusi riskide minimeerimiseks Axise seadme juurutamisel, kasutamisel ja hooldamisel. Mõnda turvaauku võib olla lihtne ära kasutada, samas kui mõni võib nõuda kõrget keerukust, erioskusi ja/või aega ja sihikindlust. Oht nõuab füüsilist või võrgujuurdepääsu seadmele.
Mõnede haavatavuste ärakasutamiseks on vaja administraatoriõigusi. CVSS (Common Vulnerability Scoring System) on sageli kasutatav meede, mis aitab kindlaks teha, kui lihtne on haavatavust ära kasutada ja milline on selle võimalik negatiivne mõju. Need hinded põhinevad sageli kriitilistes süsteemides või tarkvaral, mis on kasutajate ja/või Internetiga kokku puutunud. Axis jälgib CVE (Common Vulnerabilities & Exposure) andmebaasi, mis avaldab Axise seadmetes kasutatavate avatud lähtekoodiga pakettidega seotud CVE kirjete jaoks teadaolevad haavatavused tarkvaras. Haavatavused, mida Axis määratleb piiratud riskina, parandatakse tulevaste püsivara versioonidega. Turvaauke, mida Axis tuvastab suurenenud riskina, käsitletakse eelisjärjekorras, mille tulemuseks on plaanivälise püsivara paikamine või riskidest ja soovitustest teavitava turbealase teabe avaldamine. Valepositiivsetest tulemustest teatavad skannimistööriistad
Skannimistööriistad püüavad tavaliselt tuvastada teadaolevaid turvaauke, uurides seadmest leitud tarkvara ja pakettide versiooninumbreid. Alati on võimalus, et skannimistööriist teatab valepositiivsest märkusest, mis tähendab, et seadmel tegelikult haavatavust ei ole. Kõiki sellistest skannimistööriistadest pärinevaid märkusi tuleb analüüsida, et kinnitada, kas need kehtivad ka seadme kohta. Peate veenduma, et Axise seadmel on uusim püsivara versioon, kuna see võib sisaldada plaastreid, mis käsitlevad mitut haavatavust.

Ulatus

See juhend on kirjutatud ja seda saab rakendada kõikidele AXIS OS-ipõhistele toodetele, mis kasutavad AXIS OS LTS-i või aktiivse raja püsivara. Reguleerimisalasse kuuluvad ka pärandtooted, mis töötavad versioonidega 4.xx ja 5.xx.
AXIS OS haavatavuse skanner – ikoon Axis edge seadmete operatsioonisüsteem.

Kiirjuhend Kiirjuhend

Soovitatav on regulaarselt hinnata nii infrastruktuuri kui ka Axise seadme enda haavatavust. Neid haavatavuse hindamisi viivad tavaliselt läbi võrgu turvaskannerid. Haavatavuse hindamise eesmärk on anda süsteemne review võimalike turvaaukude ja väärkonfiguratsioonide eest. Soovime rõhutada järgmisi soovitusi enne Axise seadme haavatavuste kontrollimist, et maksimeerida skaneerimisaruande kvaliteeti ning vältida levinud vigu ja valepositiivseid tulemusi.

  • Veenduge, et Axise seadme püsivara oleks ajakohastatud uusima saadaoleva versiooniga, kas AXIS OS-i pikaajalise toe (LTS) rajal või aktiivsel rajal. Uusima saadaoleva AXIS OS-i püsivara saab alla laadida siit.
  • AXIS OS Hardening Guide'i soovitusi tuleks rakendada enne skannimist, et vältida valepositiivseid tulemusi ning veenduda, et Axise seadet kasutatakse vastavalt Axise küberturvalisuse soovitustele.
  • Soovitatav on läbi viia nn volitatud haavatavuse kontroll, kus nt turvaskanneril lubatakse Axise seadmesse sisse logida HTTP(S) või SSH kaudu. Mandaadiga turvakontroll on tõhusam, kuna skannimispind on oluliselt laienenud.
  • Rõhutame haavatavuse kontrollimise olulisust, kasutades väljakujunenud partnereid, kellel on laialdased teadmised ja spetsiaalne teljepõhise skannimise komplekt. plugins turul, nagu Tenable, Rapid7, Qualys või teised.

Levinumad märkused

Vananenud tarkvarakomponendid
Taustaturbe skannerid tõstavad esile, kui seade kasutab tarkvarakomponendi vananenud versiooni. Võib isegi juhtuda, et turvaskanner ei suuda kindlaks teha, milline versioon tegelikult töötab, ja märgib selle ikkagi. Turvaskanner lihtsalt võrdleb Axise seadmes töötavate tarkvarakomponentide versiooni uusima saadaoleva versiooniga. Seejärel väljastab turvaskanner turvaaukude loendi, isegi ilma kinnituseta, et testitav seade on tõesti mõjutatud. Seda on täheldatud Linuxi tuuma, OpenSSL-i, Apache, BusyBoxi, OpenSSH, C puhulurl, ja teised.
Avatud lähtekoodiga tarkvarakomponendid saavad kogu arenduse jooksul uusi funktsioone, veaparandusi ja turvapaigad, mille tulemuseks on pikk väljalasketsükkel. Seetõttu pole harvad juhud, kui testitav Axise seade ei tööta tarkvarakomponendi uusima versiooniga. Siiski jälgib Axis avatud lähtekoodiga tarkvarakomponente turvaaukude suhtes, mida Axis võib potentsiaalselt kriitiliseks pidada, ja avaldab need vastavalt turvateatises.
Üldised aruandetingimused

  • "Leiti, et on kasutatud Linuxi haavatavat versiooni"
  • "Selle bänneri järgi töötab Apache versioon"
  • "Selle bänneri järgi töötab OpenSSL-i versioon ..."
  • „Serveri versiooni avalikustamine (päis)…”

Riskid ja soovitused
Alates operatsioonisüsteemist AXIS OS 10.6 ja uuemates versioonides on võimalik OpenSSL-i ja Apache päise teave keelata, keelates parameetri HTTP serveri päise kommentaarid jaotises Plain config > System. Selle tulemusena ei pruugi turvaskannerid turvaauke tuvastada, kuna paketi versiooni ei ole lihtne tuvastada. Axis soovitab tungivalt hoida seadme püsivara ajakohasena ja julgustab teid oma seadmetes turvaauditeid läbi viima.

Apache web server

Taust
Teljeseadmed põhinevad oma web liides ja muu web- seotud funktsioonid Apache'is web server. The web Axise seadmete serverit kasutatakse peamiselt kahe stsenaariumi korral:

  • Üldotstarbeliseks masinatevaheliseks suhtluseks Axise seadme ja süsteemi vahel, millega see on ühendatud, tavaliselt videohaldussüsteemiga, mis pääseb Axise seadmele juurde API liideste (nt ONVIF ja VAPIX) kaudu.
  • Paigaldaja, administraatorid ja lõppkasutaja täidavad (esialgseid) konfigureerimis- ja hooldustoiminguid.

Apache web server on moodulipõhine avatud lähtekoodiga pakett. Need üksikud moodulid võivad sisaldada turvaauke. Allpool on loetelu moodulitest, mida tavaliselt laaditakse ja kasutatakse Axise seadmetes.

core_module (staatiline) unixd_module (jagatud) authn_core_module (jagatud) proxy_fcgi_module (jagatud) autor kodeeritud_kasutaja_file_moodul (jagatud)
nii_moodul (staatiline) alias_module (jagatud) autentimise põhimoodul (jagatud) proxy_http_module (jagatud) autentimispääsumoodul (jagatud)
filter_module (staatiline) mooduli ümberkirjutamine (jagatud) aut file moodul (jagatud) proxy_wstunnel_module (jagatud) trax_module (jagatud)
brotli_moodul (staatiline) cgid_module (jagatud) authz kasutajamoodul (jagatud) päiste moodul (jagatud) iptos_module (jagatud)
http_moodul (staatiline) log_config_module (jagatud) authz_owner_module (jagatud) http2_moodul (jagatud) axsyslog_module (jagatud)

Levinumad märkused

suexec_module (staatiline) setenvif_module (jagatud) auth_digest_module (jagatud) systemd_module (jagatud) ws_module (jagatud)
mime_moodul (jagatud) ssl_module (jagatud) auth_basic_module (jagatud) authn axisbasic moodul (jagatud)
mpm_worker_module (jagatud) socache_shmcb_module (jagatud) puhverserveri_moodul (jagatud) authz_axisgroupfile_moodul (jagatud)

Haavatavus, mis puudutab Apache'i teatud moodulit, peab olema laaditud ja Axis edge seade peab seda kasutama. Laadimata moodulite haavatavused ei ole olulised.
Üldised aruandetingimused

  • "Apache HTTPD: mod_proxy_ftp initsialiseerimata väärtuse kasutamine (CVE-2020-1934)"

Riskid ja soovitused
Apache haavatavused suurendavad tavaliselt avalikkuse ohtu web avalikele kasutajatele suunatud Interneti-teenuseid. The web serverit Axis seadmetes peaksid kasutama ainult paigaldajad, administraatorid ja hooldajad. Ei ole soovitatav avalikustada Axise seadmeid Interneti kaudu juurdepääsetavaks, samuti ei tohiks kasutajatel olla õigusi kasutada web brauser seadmele juurdepääsuks igapäevaste toimingute ajal. Täiendavad turvakontrollid, nagu IP-tabelid, mis võimaldavad juurdepääsu ainult heakskiidetud klientidele ja keelavad/tõkestavad web brausereid saab kasutada riskide edasiseks vähendamiseks.

OpenSSL

Taust
Axise seadmed kasutavad OpenSSL-i ühise turbe põhikomponendina, et pakkuda turvafunktsioone nt HTTPS-i, sertifikaadi ja krüptimise kasutusjuhtudel. "Aegunud OpenSSL-i versioon" on Axise seadmete puhul tavaline skannimismärkus ja OpenSSL-is avastatakse sageli uusi turvaauke.
Sarnaselt Apache'iga web server, OpenSSL on modulaarne platvorm; vaadake allpool loendit moodulitest, mida Axise tooted ei kasuta:

no-kamellia südamelöökideta no-mdc2 no-SRP
piiramata no-hw no-rc5 alamlõimedeta
kuupäevadeta pole õrna aimugi no-SCTP
no-dtls1 no-md2 seemneta

Haavatavus, mis puudutab teatud OpenSSL-i moodulit, peab olema laaditud ja Axis edge seade peab seda kasutama. Laadimata moodulite haavatavused ei ole asjakohased, kuid skannimistööriist võib need siiski märgistada.
Riskid ja soovitused OpenSSL-i haavatavused ei kujuta endast ohtu, kui süsteem ei kasuta selliseid teenuseid nagu HTTPS või 802.1x (TLS), SRTP (RTSPS) või SNMPv3. Seadet ennast ei ole võimalik kahjustada, kuna potentsiaalne rünnak oleks suunatud TLS-ühendustele ja liiklusele. OpenSSL-i haavatavuste ärakasutamine nõuab juurdepääsu võrgule, kõrgeid oskusi ja suurt sihikindlust.

Ise allkirjastatud sertifikaat

Taust
Axise seadmetega on kaasas iseallkirjastatud sertifikaat, mis genereeritakse automaatselt esimesel käivitamisel, et võimaldada tootele krüptitud HTTPS-ühenduse kaudu juurde pääseda ja jätkata toote esmase seadistamisega. Turvaskannerid võivad iseallkirjastatud sertifikaadi olemasolu ebaturvalisena esile tõsta ja Axis soovitab iseallkirjastatud sertifikaadi seadmest eemaldada ja asendada see teie organisatsioonis usaldusväärse serverisertifikaadiga. Iseallkirjastatud sertifikaat pakub selles mõttes konfidentsiaalset ja turvalist mehhanismi esialgseks konfigureerimiseks, kuid nõuab, et kasutaja kontrolliks siiski seadme enda autentsust.
Üldised aruandetingimused

  • “SSL-sertifikaati ei saa usaldada…”
  • "SSL-i iseallkirjastatud sertifikaat"
  • „X.509 sertifikaadi subjekti CN ei ühti üksuse nimega…”

Riskid ja soovitused
Iseallkirjastatud sertifikaadid tagavad võrgu krüptimise, kuid ei kaitse keskmise rünnaku eest (rouhe teenus, mis kehastab seaduslikku võrguteenust). Kui kasutate selliseid teenuseid nagu HTTPS või 802.x, on soovitatav kasutada sertifitseerimisasutuse (CA) allkirjastatud sertifikaate. Need peab esitama süsteemi omanik, kasutades avalikku või eraõiguslikku CA-d. Kui HTTPS-i või 802.1x-i ei kasutata, pole riske ja aluseks oleva OpenSSL-i turvaauke ei saa kasutada Axise seadme ohustamiseks. Axis seadmete funktsioonide Axis Edge Vault puhul asendati iseallkirjastatud sertifikaat seadme ID-sertifikaadiga IEEE 802.1AR.
RSA võtme pikkus
Taust
Kuna Axise seadmetel on eellaaditud iseallkirjastatud sertifikaat, on mõnel seadmel sertifikaadi võtme pikkus lühem kui 2048-bitisel. Sertifikaat on ka mittestandardse bitipikkusega tagamaks, et enamik mainekaid CA-sid lükkavad selle allkirjastamistaotluse tagasi. Turvaskannerid võivad selle esile tõsta kui ebaturvalist ja soovitatav on see sertifikaat enne tootmises kasutuselevõttu välja vahetada, kuna see on mõeldud ainult esmaseks seadistamiseks.
Üldised aruandetingimused

  • "SSL-sertifikaadi kett sisaldab RSA võtmeid vähem kui 2048 bitti..."
  • "RSA mooduli pikkus X.509 serdis: 1536 bitti (alla 2048 bitti)…"

Riskid ja soovitused
Seda haavatavust ei saa kasutada seadme ohustamiseks. Axise seadmete iseallkirjastatud võtme vaikepikkuseks on seatud 1536 bitti, et vähendada ühenduse latentsust ning sertifikaadi ja võtme genereerimiseks kuluvat aega. See võtme pikkus pakub piisavat kaitset haldustoimingute jaoks, nagu seadme konto paroolide lähtestamine ja Axise seadme esialgne seadistamine. Soovitatav on asendada vaikesertifikaat CA allkirjastatud sertifikaadiga, mille peaks andma süsteemi omanik.
Šifri seaded
Taust
Regulaarsete püsivara värskenduste ajal võib Axise seadme saadaolevate šifrite loend saada värskendusi ilma tegelikku šifri konfiguratsiooni muutmata. Šifri konfiguratsiooni muutmine peab olema kasutaja algatatud, tehes Axise seadme tehase vaikeseadeid või kasutades kasutaja käsitsi konfigureerimist. Alates operatsioonisüsteemist AXIS OS 10.8 ja uuemates versioonides värskendatakse šifrite loendit automaatselt, kui kasutaja algatab püsivara värskenduse.
Üldised aruandetingimused

  • "Nõrk krüptograafiline võti ..."
  • "TLS/SSL-server toetab staatiliste võtmešifrite kasutamist..."

Soovitatav on võimalusel kasutada HTTPS-i krüptimiseks alati tugevaimaid šifreid.
TLS 1.2 ja vanemad: kui kasutate TLS 1.2 või vanemat versiooni, saate määrata kasutatavad HTTPS-i šifrid jaotises Plain Config > HTTPS > Ciphers, millele järgneb Axise seadme taaskäivitamine. Axis soovitab valida kõik või mõni järgmistest põhjalikult kaalutletud šifritest (värskendatud 2021. aasta septembris) või teha soovitud valik ise.
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3: Kui kasutate TLS 1.3, ei mõjuta HTTPS-i šifrite parameeter rakenduses Plain Config vaikimisi, valitakse ainult tugevad šifrid vastavalt TLS 1.3-le. Kasutaja ei saa valikut muuta ja seda värskendatakse vajadusel püsivara värskenduse kaudu. Praegu on šifrid (värskendatud september 2021):
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web serveri märkused

Web serveri märkused

Boa web server
Taust
Axis seadmed püsivara versiooniga 5.65 ja vanemad kasutavad Boa web server jaoks web liides ja web- seotud funktsioonid. The web Axise seadmete serverit kasutatakse peamiselt kahe stsenaariumi korral:

  • Üldotstarbeliseks masinatevaheliseks sideks Axise seadme ja süsteemi vahel, mis on tavaliselt ühendatud videohaldussüsteemiga, mis pääseb Axise seadmele juurde API liideste (nt ONVIF ja VAPIX) kaudu.
  • Paigaldajate, administraatorite ja lõppkasutajate konfiguratsiooni- ja hooldustoimingute jaoks.

Sarnane uuema Apache'iga web server, mida kasutavad Axise seadmed uuema püsivaraga Boa web serverit võivad haavatavused mõjutada. Turvaskannerid ei pruugi tuvastada web serveris, mida kasutatakse vanemates Axis seadmetes, ja seetõttu eeldatakse lihtsalt, et need seadmed kasutavad Apache'i web server. Haavatavus, mis kehtib Apache'i kohta web server ei kehti Boa kohta web vaikimisi server, kui pole öeldud teisiti.
Üldised aruandetingimused

  • "Selle bänneri järgi töötab Apache versioon ..."
  • "Kaughostile installitud Apache HTTPd versioon on vanem kui 2.4.46. Seetõttu mõjutavad seda mitmed haavatavused…”

Apache Struts ja Apache Tomcat
Taust
Nagu Apache'is kirjeldatud web server leheküljel 4 , Axis seadmed põhinevad oma web liides ja web- seotud funktsioonid avatud lähtekoodiga Apache'is web server. Apache muud maitsed web serverid, nagu Apache Struts või Tomcat, on olemas, kuid neid Axise seadmetes ei kasutata. Axis kasutab tavalist avatud lähtekoodiga Apache'i web Apache Software Foundationi (ASF) serverirakendus.
Üldised aruandetingimused

  • "Apache Tomcatis on avastatud haavatavus ..."
  • “Jakarta mitmeosaline parser Apache Strutsis…”

Web kasutajaseansid
Taustatelje seadmed põhinevad oma web liides ja muu web- seotud funktsioonid Apache'is web server. The web Axise seadmete serverit kasutatakse peamiselt kahe stsenaariumi korral:

  • Üldotstarbeliseks masinatevaheliseks sideks Axise seadme ja süsteemi vahel, millega see on ühendatud, on tavaliselt videohaldussüsteem, mis pääseb Axise seadmele juurde API liideste (nt ONVIF ja VAPIX) kaudu.
  • Kui installija, administraatorid ja lõppkasutaja täidavad (esialgseid) konfigureerimis- ja hooldustoiminguid.

Praegu Axise seadmed traditsioonilist ei toeta web kasutajapõhised seansid, kus see on võimalik web seansi nt väljalogimiseks või automaatseks aegumiseks pärast teatud aja möödumist kasutaja tegevusetusest, kui brauseriaken on avatud. Iga taotlus läbi web Axis seadme server peab olema korralikult autentitud, et seda enne konkreetset töödelda web seanss on avatud edasiseks suhtlemiseks. Aktiivseks sulgemiseks a web seansi ajal tuleb brauser sulgeda.
Üldised aruandetingimused

  • „Samaaegsed kasutajaseansid…”
  • "Ebapiisav seansi lõpetamine ja aegumine..."
  • Rakendusel puudub väljalogimisfunktsioon...

Riskid ja soovitused
Axis soovitab peamise videokliendina seadmele juurde pääseda mõne rakenduse, näiteks videohaldussüsteemi (VMS) kaudu, selle asemel, et kasutada web brauseris, kui see oleks murettekitav. Kui aga web brauser on ainus saadaolev videoklient, pidage meeles järgmisi juhiseid.

  • Ärge külastage ebausaldusväärseid inimesi websaite või avatud e-kirju ebausaldusväärsetelt saatjatelt (see on muidugi üldine küberkaitse soovitus).
  • Kasutage Axise seadme konfigureerimiseks teist brauserit, mis ei ole süsteemi vaikeseade.
  • Loo a viewer kontole ja kasutage seda siis, kui viewvideovoogu. The viewer kontol on minimaalsed õigused ja puuduvad õigused Axise seadme konfiguratsiooni muutmiseks.
  • Rünnakuakna minimeerimiseks ärge jätke brauserit pärast seadistamist järelevalveta avatuks.

Püsivara märkused

Telje püsivara versiooni string
Taust
Axis avalikustab haavatavused ja pakub värskendatud püsivara koos turvaparandustega, et kliendid saaksid värskendada ja võimalikke riske maandada. Turvaskannerid võrdlevad tavaliselt ainult piiratud püsivara versiooni, mida Axise toode töötab, vanema, aegunud püsivaraga, mis võib sisaldada turvaauke. Turvaskanner ei pruugi Axise püsivara õigesti ära tunda, mistõttu skanner märgib töötava püsivara haavatavaks või ebaturvaliseks. Kontrollige alati testitava toote püsivara versiooni väljalaskemärkmeid, kuna selles dokumendis on loetletud tõsised või kriitilised haavatavuse paigad.
See võib tekitada segadust, kui Axise seade töötab kohandatud püsivara versiooni või kui turvaskannerit ei värskendata saadaoleva Axise püsivara uusima teabega. Allpool on mõned endisedampAxise püsivara versiooni stringide arv:

  • 9.70 .1
  • 9.70 .1_ beeta
  •  9.70 .1. 5

Üldised aruandetingimused

  • "Axis Multiple haavatavused (ACV-128401)…"

Linuxi levitamine ja sisseehitatud paketihaldur
Taust
Turvaskannerid võivad toetada nn mandaadiga skannimist, kasutades sisselogimisandmeid kaudu web sisselogimine (HTTP) või hooldusjuurdepääsu (SSH) kaudu, et saada rohkem teavet seadme, selle operatsioonisüsteemi ja muu sellel töötava tarkvara kohta. Linuxi distributsioon on Poky (OpenEmbedded) versioon, millel on nii kohalikud kui ka ülesvoolu paigad, mis ei pruugi kattuda või mida turvaskanner võib sellisena ära tunda. Lisaks võib turvaskanner eeldada paketihalduri kasutamist, mida Axise toodetes ei kasutata.
Allpool on võrrelda teljega kasutatava distributsiooni ja standardse Linuxi distributsiooni nimeskeemi. Pange tähele, et turvaskanner võib viimase ära tunda ja läbida, Axise versiooni aga mitte. Selle illustreerimiseks on meil teljespetsiifilised 4.9.206-telje ja Linuxi üldise 54.9.206 üldise versiooni stringid.
Üldised aruandetingimused

  • "Kohalikud turvakontrollid EI OLE lubatud, kuna Linuxi kaugjaotust ei toetata..."

Krüptimata püsivara ja kiip
Taust
Turvaskannerid võivad esile tõsta Axise seadmes kasutatavate välklampide kasutamise ja märgistada need või filesüsteemid kui sellised "krüpteerimata". Axise seadmed krüpteerivad kasutaja saladusi, nagu paroolid, sertifikaadid, võtmed ja muud files ilma tingimata krüpteerimata filesüsteem. Eemaldatav kohalik salvestusruum, nagu SD-kaardid, krüpteeritakse LUKS-krüptimisega.
Üldised aruandetingimused

  • "Välkmälu, mis sisaldab juurt file seadme süsteem ei ole krüptitud…”
  • "Teave ekstraheeriti krüptimata püsivara kujutisest, sealhulgas …."

Riskid ja soovitused
Seda haavatavust ei saa kasutada seadme ohustamiseks. Püsivara ei sisalda vaikimisi saladusi ja ei vaja terviklikkuse kinnitamiseks muud kaitset peale püsivara allkirja. Krüpteeritud tarkvara muudab turbeuurijatel uute (tundmatute) haavatavuste tuvastamise raskemaks ning müüjad võivad kasutada krüpteeritud tarkvara tahtlike vigade varjamiseks (turvalisus läbi varjamise). Axise seadmete puhul on juurdepääsuks vajalik juurjuurdepääs fileseadme süsteemi, et sellele juurde pääseda. Tundlik teave, nagu paroolid, salvestatakse krüpteeritult filesüsteemi ja nende väljavõtmiseks on vaja kõrget keerukust, oskusi, aega ja sihikindlust. Kasutage kindlasti tugevat juurparooli ja hoidke seda kaitstuna. Sama parooli kasutamine mitme kaamera jaoks lihtsustab haldamist, kuid suurendab ühe kaamera turvalisuse ohtu.
Alglaadur
Taustaturbe skannerid võivad arvata, et nad on tuvastanud Axise seadmetes kasutatava alglaaduri juurutuse margi ja mudeli ning võivad seetõttu esile tõsta turvalise alglaadimise või alglaaduriga seotud haavatavusi. Axis võrguvideo- ja võrguhelitooted kasutavad ettevõttesisest alglaadurit, mida nimetatakse ja boot/netboot.
Üldised aruandetingimused

  • "Kõigis GRUB2 alglaaduri versioonides on tuvastatud haavatavus ..."
  • "Das U-Bootis avastati probleem kuni 2019.07..."

Võrgumärkused

TCP/ICMP kordaamp vastuseks
Taust
Kuigi TCP ja ICMP kordaamp teavet kasutatakse kõige sagedamini võrgutööriistadena hostide jõudluse ja saadavuse mõõtmiseks, seda saab kasutada ka võrguseadme enda kohta ajaga seotud teabe leidmiseks. ICMP aegamp teave ICMP tüübis 13 (timestamp päring) ja ICMP tüüp 14 (timestamp vastus) annab teavet, mida saab kasutada seadme tegeliku aja arvutamiseks UTC-s. TCP kordaamp informatsiooni abil saab arvutada kahe võrguhosti vahelise nn edasi-tagasi aja (RTT) infot, mis võimaldaks arvutada Axis seadme hetke tööaega.
Turvaskannerid võivad tähistada TCP ja ICMP timest olemasoluamp vastuseid Axis seadmetelt ja soovitame keelata TCP ja ICMP timestamp vastuseid igal võimalusel. Axis järgib Linuxi avatud lähtekoodiga kogukonna soovitust, mis ei pea nendest vastustest saadud tegelikku kuupäeva/kellaaja teavet iseenesest turvariskiks. Seetõttu TCP/ICMP timestamp vastused on vaikimisi endiselt lubatud. Lisaks peetakse Linuxi tuuma uuemates versioonides tegelikku arvutust ebausaldusväärseks, kuna vastumeetmed tagavad, et kuupäeva/kellaaja teabe arvutamine ei ole usaldusväärne. Tänase seisuga (veebruar 2022) ei ole avalikustatud ühtegi teadaolevat turvaauku ega ärakasutamist, mis õigustaks nende teenuste keelamist Axise seadmetes.
Üldised aruandetingimused

  • “TCP timestamp vastus leitud…”
  • "ICMP kordaamp vastus leitud…”

HTTP(S), HSTS-poliitika
Taust
Axise seadmed on vaikimisi konfigureeritud lubama HTTP- ja HTTPS-ühendusi. Soovitatav on kasutada esimese algkäivituse genereeritud iseallkirjastatud sertifikaati, et teha Axise seadme esimene algkonfiguratsioon HTTPS-režiimis ja lülitada konfiguratsioon lubama ainult HTTPS-ühendusi. HTTPS-i saab jõustada nt web Axis seadme liides, valides Sätted > Süsteem > Turvalisus. Lisaks lubatakse HSTS-i (HTTP range transporditurbe) kasutamine seadme turvalisuse edasiseks suurendamiseks automaatselt ainult siis, kui Axise seadet kasutatakse ainult HTTPS-i režiimis. HSTS-i toetavad 2018. aasta LTS (8.40), 2020 LTS (9.80) ja AXIS OS 10.1 aktiivrada.
Turvaskannerid võivad rõhutada, et testitav Axise seade on konfigureeritud lubama samaaegselt ainult HTTP-d või HTTP-d ja HTTPS-i. Tuvastamine toimub tavaliselt standardse HTTP-pordi 80 vastuse valideerimise ja pordi oleku kontrollimise teel. Axis soovitab kasutada seadet HTTPS-režiimis ainult seda vastavalt konfigureerides. Paljud turvaskannerite auditid tehakse Axise seadmetes, kus seda spetsiifilist ainult HTTPS-i konfiguratsiooni ei jõustata, võimaldades Axise seadmel reageerida HTTP- ja/või HTTPS-ühendustele.
Üldised aruandetingimused

  • "Tuvastati HTTP (Port 80) ebaturvaline kanal..."
  • „Web Portaal lubab vaikimisi krüptimata HTTP-ühendusi…”
  • "Kaugjuhtimispult web server ei jõusta HSTS-i, nagu on määratletud RFC 6797…”
  • „Ebapiisav transpordikihi turvalisus…”

Riistvara märkused

Arhitektuuri haavatavused
Taust
Teatud haavatavused võivad sõltuda seadme kasutatavast protsessori arhitektuurist. Teljeserva seadmed, nagu kaamerad, kodeerijad, kantavad seadmed, heli- ja sisekommunikatsioonitooted, põhinevad MIPS- ja ARM-arhitektuuril ning neid ei mõjuta näiteks x64- või x86-arhitektuuripõhised haavatavused.
Üldised aruandetingimused

  • "OpenSSL rsaz_512_sqr ülevooluviga x86_64 (CVE-2019-1551)..."
  • “x64_64 Montgomery kvadratuuri protseduur…”

UART / jadakonsool
Taust
Axise seadme riistvara füüsiline kontroll võib rõhutada UART (universaalne asünkroonne vastuvõtja saatja) või jadakonsooli olemasolu. Axis viitab sellele kui silumispordile. Silumisporti kasutatakse inseneriprojektide ajal ainult arenduseks ja silumiseks. Kuigi tundlikku teavet ei avaldata autentimise ajal, on juurdepääs silumispordile parooliga piiratud ja sisse võib logida ainult juurkasutaja. Alates operatsioonisüsteemist AXIS OS 10.11 ja uuemates versioonides on UART-/jadakonsool vaikimisi keelatud ja seda saab lubada alles pärast selle avamist seadme ainulaadse kohandatud püsivara sertifikaadi kaudu. Seda pakub ainult Axis ja seda ei saa muul viisil genereerida. Üldised aruandetingimused

  • „Teabe avalikustamine UART-i/jadakonsooli kaudu…”
  • "Root Shell UART-i / jadakonsooli kaudu ..."
  • "PCB-l paljastasid päised UART-konsooli ..."

AXIS OS-i haavatavuse skanneri juhend © Axis Communications AB, 2022
Ver. M3.2 Kuupäev: august 2022
Osa nr.

Dokumendid / Ressursid

AXIS OS haavatavuse skanner [pdfKasutusjuhend
OS-i haavatavuse skanner, OS-i skanner, haavatavuse skanner, skanner

Viited

Seotud postitused

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *