r   e   k   l   a   m   a
r   e   k   l   a   m   a

Devil's Ivy: zdalne przejęcie setek modeli kamer IP – a to nie wszystko

Strona główna AktualnościBEZPIECZEŃSTWO

Kamery bezpieczeństwa firmy Axis cieszą się dużą popularnością na rynku produktów telewizji dozorowej i systemów wizyjnych – sięgają po nie zarówno klienci indywidualni, chcący ochronić swoje posiadłości, jak i korporacje czy organizacje rządowe. Teraz wszyscy oni mają poważny kłopot – muszą jak najszybciej zaktualizować firmware swoich kamer. Odkryta przez badaczy z firmy Senrio podatność przepełnienia bufora otworzyła drogę do zdalnego uruchomienia kodu na kamerach Axis, pozwalając napastnikom zalogować się do panelu sterowania, uzyskać dostęp do strumienia wideo czy zresetować hasła dostępowe.

Oznaczona jako CVE-2017-9765 podatność otrzymała bardziej poetycką nazwę „Devil’s Ivy” (to angielska nazwa takiej popularnej rośliny pnącej, u nas znanej jako epipremnum albo scindapsus). Zastosowanie przygotowanego przez ekspertów z Senrio exploita możecie zobaczyć na poniższym wideo: kilka minut i kamera (w tym konkretnym wypadku model M3004) trafia w ręce napastnika – aż się prosi, by wykorzystać taki cyberatak jako część operacji przeprowadzanej w monitorowanym budynku.

Axis szybko wydał łatki dla swoich kamer – aby je pobrać, należy zarejestrować się w serwisie firmy i znaleźć swój model na liście produktów. Błędy w firmware to chleb powszedni twórców Internetu Rzeczy, więc na tym pewnie można byłoby zakończyć, gdyby nie jedna kwestia, a mianowicie skala zagrożenia. Okazuje się, że Devil’s Ivy działa nie tylko na 249 różnych modelach kamer Axis, ale też prawdopodobnie na tysiącach innych urządzeń. Wszystko przez popularny toolkit gSOAP.

r   e   k   l   a   m   a

gSOAP jest jednym z najpopularniejszych frameworków do szybkiego tworzenia w C/C++ XML-owych usług webowych i aplikacji. Dostępny jest na atrakcyjnych licencyjnie warunkach (zarówno licencja komercyjna, jak i wydanie Open Source na licencji GPLv2), co sprawia, że stał się ogromnie popularny wśród producentów rozmaitych urządzeń, które korzystały z protokołu dostępowego SOAP (Simple Object Access Protocol), by komunikować się przez Internet. Podobno pobrano go ze strony producenta ponad milion razy, a na serwisie Sourceforge odnotowuje przynajmniej tysiąc pobrań tygodniowo.

To właśnie w tym frameworku tkwi błąd, który wykorzystano w Devil’s Ivy. Oznacza to, że uzłośliwione komunikaty SOAP mogą pozwolić na przejęcie kontroli nie tylko nad kamerami Axis, ale nad dziesiątkami milionów innych urządzeń.

Zaraz po powiadomieniu Genivii, producenta gSOAP, o tym zagrożeniu, wydana została poprawka. Wersja 2.8.49 rozwiązuje m.in. problemy z obsługą spacji w tekście na wejściu oraz wyciek pamięci z deserializera. To świetna wiadomość, tyle że pozostaje pytanie, ile urządzeń wykorzystujących wcześniejsze, podatne wersje gSOAP otrzyma poprawione firmware? Postawa Axis w świecie Internetu Rzeczy jest raczej wyjątkiem niż regułą.

W tej sytuacji badacze z Senrio rekomendują, by po pierwsze odciąć wszystkie urządzenia fizycznego bezpieczeństwa od publicznego Internetu (obecnie co najmniej 14 tysięcy kamer Axis jest do Internetu podłączona), a jeśli to niemożliwe, zastosować zapory sieciowe czy translację adresów sieciowych (NAT), by zmniejszyć widoczność tych urządzeń w sieci. O ile jest to możliwe, sprawdzić należy też dostępność aktualizacji firmware na stronach producenta urządzeń.

A to dopiero początek kłopotów z Internetem Rzeczy.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.