0
scyther5, Getty Images/iStockphoto
Un difetto ampiamente usato libreria di codice noto come gSOAP ha esposto milioni di dispositivi IoT, come telecamere di sicurezza, per un attacco remoto.
I ricercatori IoT ditta di sicurezza Senrio scoperto il Diavolo Ivy, un buffer di stack overflow bug, mentre sondare i servizi di configurazione remota del M3004 macchina fotografica della cupola di Axis Communications. Il bug si verifica quando l’invio di un file XML di grandi dimensioni a un sistema vulnerabile del server web.
Il difetto si trova in gSOAP, open source, web services code library mantenuto da Genivia, che è importato dall’Asse della fotocamera in remoto configurazione del servizio. Senrio i ricercatori sono stati in grado di utilizzare il difetto continuamente riavviare la telecamera o modificare le impostazioni di rete e bloccare il proprietario di visualizzare il feed video.
Essi sono stati anche in grado di ripristinare la fotocamera alle impostazioni di fabbrica, che chiederà all’utente malintenzionato di modificare le credenziali, dando loro accesso esclusivo per l’alimentazione della fotocamera.
Axis Communications ha confermato che 249 del suo 251 telecamera di sorveglianza modelli sono stati interessati dal difetto, etichettato come CVE-2017-9765. È uscito un aggiornamento del firmware il 10 luglio per affrontare il problema.
“I prodotti esposti e accessibile dal pubblico di Internet (tramite il router il port-forward o UPnP NAT) sono a rischio molto più elevato e necessitano di attenzione immediata,” Asse note nella sua consulenza. Si ritiene che il rischio di “limitato” per le telecamere dietro un firewall.
Secondo Senrio, 1 luglio ci sono stati circa 14.000 telecamere Axis esposti su internet.
Axis Communications’ telecamere sono ampiamente utilizzati dall’impresa le imprese di tutto il mondo, anche in sanità, trasporti, del governo, del retail, banking, e delle infrastrutture critiche.
Ma come la società di sicurezza note, questo bug “, che va ben al di là di” Axis communications kit grazie al gSOAP uso diffuso e probabilmente rimarrà esposta su dispositivi per un lungo periodo di tempo. Genivia conta Adobe, IBM, Microsoft, e Xerox come clienti e reclami gSOAP è stato scaricato più di un milione di volte.
Il bug sembra interessare diverse distribuzioni di Linux, che dal Sanrio relazione, sono ora di rispondere a Genivia patch dal 21 giugno.
Genivia spiega nel suo advisory: “una potenziale vulnerabilità di un ampio e specifico messaggio XML oltre i 2GB (maggiore di 2147483711 byte per attivare il software bug). Un overflow del buffer può causare un aperto non protetti server crash o malfunzionamenti dopo la 2GB è ricevuto.”
Il bug è anche probabile che andando a rimanere senza patch per qualche tempo.
“Abbiamo chiamato la vulnerabilità del Diavolo Ivy perché, come la pianta, è quasi impossibile uccidere e si diffonde rapidamente attraverso il riutilizzo del codice,” ha detto Senrio.
“La sua fonte in un toolkit di terze parti scaricato milioni di volte, significa che si è diffuso a migliaia di dispositivi e sarà difficile da eliminare completamente.”
0