Af Torben B. Sørensen, 27/07/17
Sikkerhedsfirmaet Senrio har opdaget sårbarheden, som det kalder Devil's Ivy. Sikkerhedshullet ligger i værktøjet gSOAP, som indgår i mange Internet of Things-enheder (IoT).
Senrio fandt sårbarheden i overvågningskameraet M3004 fra Axis Communications. Sårbarheden er et bufferoverløb, der kan udnyttes til at afvikle programkode.
Ved at udnytte sårbarheden lykkedes det sikkerhedsforskerne at uploade og køre et fjernstyringsprogram til kameraet. Derefter kunne de se video fra kameraet. Det er også muligt at sætte kameraet på pause, så det ikke viser, hvad der sker på det område, det overvåger.
Firmaet Genivia, der udvikler gSOAP, har udsendt en opdateret version af værktøjet.
Værktøjet indgår i den software, som ONVIF anbefaler. ONVIF er en forening, der udvikler og markedsfører standardiserede grænseflader for fysisk udstyr, der kommunikerer over IP.
Omkring seks procent af medlemmerne af ONVIF bruger gSOAP. Derfor anslår Senrio, at millioner af produkter kan være berørt. Hvor sårbare de er, afhænger af implementeringen af gSOAP i de enkelte produkter.
Blandt brugerne af gSOAP er IBM, Microsoft, Adobe og Xerox.
Anbefaling
Brugere af udstyr med gSOAP bør kontrollere, at det er opdateret til den rettede version.
Links
- Devil's Ivy: Flaw in Widely Used Third-party Code Impacts Millions, blogindlæg fra Senrio
- Devil's Ivy: The Technical Details, blogindlæg fra Senrio
- gSOAP version 2.8.48 upd (06/21/2017), information fra Genivia
- Bad Code Library Triggers Devil’s Ivy Vulnerability in Millions of IoT Devices, artikel fra Kaspersky Threatpost
- Millions of IoT Devices Possibly Affected by 'Devil's Ivy' Flaw, artikel fra SecurityWeek