Devil's Ivy: zdalne przejęcie setek modeli kamer IP – a to nie wszystko

Kamery bezpieczeństwa firmy Axis cieszą się dużąpopularnością na rynku produktów telewizji dozorowej i systemówwizyjnych – sięgają po nie zarówno klienci indywidualni, chcącyochronić swoje posiadłości, jak i korporacje czy organizacjerządowe. Teraz wszyscy oni mają poważny kłopot – muszą jaknajszybciej zaktualizować firmware swoich kamer. Odkryta przezbadaczy z firmy Senrio podatność przepełnienia bufora otworzyładrogę do zdalnego uruchomienia kodu na kamerach Axis, pozwalającnapastnikom zalogować się do panelu sterowania, uzyskać dostęp dostrumienia wideo czy zresetować hasła dostępowe.

Oznaczona jako CVE-2017-9765podatność otrzymała bardziej poetycką nazwę „Devil’s Ivy”(to angielska nazwa takiej popularnej rośliny pnącej, u nas znanejjako epipremnum albo scindapsus). Zastosowanie przygotowanego przezekspertów z Senrio exploita możecie zobaczyć na poniższym wideo:kilka minut i kamera (w tym konkretnym wypadku model M3004)trafia w ręce napastnika – aż się prosi, by wykorzystać takicyberatak jako część operacji przeprowadzanej w monitorowanymbudynku.

Axis szybko wydał łatki dla swoich kamer – aby je pobrać,należy zarejestrować się w serwisie firmy i znaleźć swój modelna liścieproduktów. Błędy w firmware to chleb powszedni twórcówInternetu Rzeczy, więc na tym pewnie można byłoby zakończyć,gdyby nie jedna kwestia, a mianowicie skala zagrożenia. Okazuje się,że Devil’s Ivy działa nie tylko na 249 różnych modelach kamerAxis, ale też prawdopodobnie na tysiącach innych urządzeń.Wszystko przez popularny toolkit gSOAP.

gSOAPjest jednym z najpopularniejszych frameworków do szybkiego tworzeniaw C/C++ XML-owych usług webowych i aplikacji. Dostępny jest naatrakcyjnych licencyjnie warunkach (zarówno licencja komercyjna, jaki wydanie Open Source na licencji GPLv2), co sprawia, że stał sięogromnie popularny wśród producentów rozmaitych urządzeń, którekorzystały z protokołu dostępowego SOAP (Simple Object AccessProtocol), by komunikować się przez Internet. Podobno pobrano go zestrony producenta ponad milion razy, a na serwisie Sourceforgeodnotowuje przynajmniej tysiąc pobrań tygodniowo.

To właśnie w tym frameworku tkwi błąd, który wykorzystano wDevil’s Ivy. Oznacza to, że uzłośliwione komunikaty SOAP mogąpozwolić na przejęcie kontroli nie tylko nad kamerami Axis, ale naddziesiątkami milionów innych urządzeń.

Zaraz po powiadomieniu Genivii, producenta gSOAP, o tymzagrożeniu, wydana została poprawka. Wersja2.8.49 rozwiązuje m.in. problemy z obsługą spacji w tekściena wejściu oraz wyciek pamięci z deserializera. To świetnawiadomość, tyle że pozostaje pytanie, ile urządzeńwykorzystujących wcześniejsze, podatne wersje gSOAP otrzymapoprawione firmware? Postawa Axis w świecie Internetu Rzeczy jestraczej wyjątkiem niż regułą.

W tej sytuacji badacze z Senrio rekomendują, by po pierwszeodciąć wszystkie urządzenia fizycznego bezpieczeństwa odpublicznego Internetu (obecnie co najmniej 14 tysięcy kamer Axisjest do Internetu podłączona), a jeśli to niemożliwe, zastosowaćzapory sieciowe czy translację adresów sieciowych (NAT), byzmniejszyć widoczność tych urządzeń w sieci. O ile jest tomożliwe, sprawdzić należy też dostępność aktualizacji firmwarena stronach producenta urządzeń.

A to dopiero początek kłopotów z Internetem Rzeczy.