Millioner af IoT-enheder er sårbare

En sårbarhed i et tredjepartsbibliotek gør millioner af webkameraer og andre enheder sårbare for angreb.

Sikkerhedsfirmaet Senrio har opdaget sårbarheden, som det kalder Devil's Ivy. Sikkerhedshullet ligger i værktøjet gSOAP, som indgår i mange Internet of Things-enheder (IoT).

Senrio fandt sårbarheden i overvågningskameraet M3004 fra Axis Communications. Sårbarheden er et bufferoverløb, der kan udnyttes til at afvikle programkode.

Ved at udnytte sårbarheden lykkedes det sikkerhedsforskerne at uploade og køre et fjernstyringsprogram til kameraet. Derefter kunne de se video fra kameraet. Det er også muligt at sætte kameraet på pause, så det ikke viser, hvad der sker på det område, det overvåger.

Firmaet Genivia, der udvikler gSOAP, har udsendt en opdateret version af værktøjet.

Værktøjet indgår i den software, som ONVIF anbefaler. ONVIF er en forening, der udvikler og markedsfører standardiserede grænseflader for fysisk udstyr, der kommunikerer over IP.

Omkring seks procent af medlemmerne af ONVIF bruger gSOAP. Derfor anslår Senrio, at millioner af produkter kan være berørt. Hvor sårbare de er, afhænger af implementeringen af gSOAP i de enkelte produkter.

Blandt brugerne af gSOAP er IBM, Microsoft, Adobe og Xerox.

Anbefaling

Brugere af udstyr med gSOAP bør kontrollere, at det er opdateret til den rettede version.

Links