0
Beeld: Getty Images/iStockphoto
Een lek in een gebruikte code bibliotheek bekend als gSOAP heeft blootgesteld miljoenen IoT apparaten, zoals beveiligingscamera ‘ s, een externe aanval.
Onderzoekers aan de IoT beveiligingsbedrijf Senrio ontdekt de Devil ‘ s Ivy fout, een stack buffer overflow bug, terwijl het aftasten van de services voor externe configuratie van de M3004 dome camera van Axis Communications. De bug treedt op wanneer het verzenden van een grote XML-bestand om een kwetsbaar systeem is web-server.
De fout zelf ligt in gSOAP, een open source web services code bibliotheek onderhouden door Genivia, die is ingevoerd door de Axis camera ‘ s remote configuration-service. Senrio onderzoekers waren in staat om de fout om voortdurend opnieuw opstarten van de camera of de netwerkinstellingen wijzigen en blokkeren van de eigenaar van het bekijken van de video feed.
Ze waren ook in staat om een reset de camera naar de fabrieksinstellingen, die prompt de aanvaller wijzigen van de referenties, waardoor ze exclusieve toegang tot de camera feed.
Axis Communications bevestigd dat 249 van de 251 bewakingscamera modellen werden getroffen door het lek, tagged als CVE-2017-9765. Het heeft een firmware-update op 10 juli om het probleem te verhelpen.
“Producten blootgesteld en bereikbaar vanaf het publieke Internet (via de router poort-doorsturen of UPnP NAT) zijn veel hoger risico en onmiddellijke aandacht nodig hebben,” As merkt in haar advies. Zij meent dat de risico “beperkt” voor de camera ‘ s achter een firewall.
Volgens Senrio, met ingang van 1 juli waren er ongeveer 14.000 Axis camera ‘ s bloot op het internet.
Axis Communications’ camera ‘ s worden veel gebruikt door grote bedrijven over de hele wereld, waaronder in de gezondheidszorg, transport, overheid, retail, banking, en de kritieke infrastructuur.
Maar als het beveiligingsbedrijf noten, deze bug “veel verder gaat dan de” Axis communications kit dankzij de gSOAP het wijdverspreide gebruik en zal waarschijnlijk blootgesteld blijven op apparaten voor een lange tijd. Genivia telt Adobe, IBM, Microsoft, Xerox als klanten en vorderingen gSOAP is gedownload meer dan een miljoen keer.
De bug lijkt ook van invloed is op verscheidene Linux distributies ook, die sinds Sanrio van het rapport zijn nu reageren op Genivia de patch van 21 juni.
Genivia legt in haar advies: “een potentiële kwetsbaarheid voor een grote en specifieke XML-bericht van meer dan 2 GB in grootte (groter dan 2147483711 bytes voor het activeren van de software bug). Een buffer overflow kan leiden tot een open onbeveiligde server crash of defect na 2GB is ontvangen.”
De bug is waarschijnlijk ook blijven in ongewijzigde voor bepaalde tijd.
“Voor de naam van de kwetsbaarheid Devil’ s Ivy omdat, zoals de plant, is het bijna onmogelijk om te doden en verspreidt zich snel door middel van code opnieuw te gebruiken,” zei Senrio.
“De bron in een derde-partij toolkit gedownload miljoenen keren betekent dat het zich heeft verspreid naar duizenden apparaten en zal het moeilijk zijn om volledig te elimineren.”
0