Уязвимость "Devil's Ivy" (Плющ Дьявола), вероятно, останется неустраненной в течение длительного времени из-за ситуации «повторное использование кода - повторное использование уязвимостей».
Уязвимость "Devil's Ivy" (Плющ Дьявола), вероятно, останется неустраненной в течение длительного времени из-за ситуации «повторное использование кода - повторное использование уязвимостей».
Уязвимость в широко используемой библиотеке кода, известной как gSOAP, выявила подверженность миллионы IoT-устройств, таких как камеры безопасности, удаленной атаке.
Исследователи из фирмы Senrio по защите IoT-устройств обнаружили уязвимость "Devil's Ivy", ошибку переполнения буфера стека, исследуя службы удаленной конфигурации купольной камеры M3004 от Axis Communications. Ошибка возникает при отправке большого XML-файла на веб-сервер уязвимой системы.
Эта уязвимость относится к gSOAP, библиотеке кода веб-сервисов с открытым исходным кодом, поддерживаемой Genivia, которая импортируется службой удаленной настройки камеры Axis. Исследователи Senrio смогли использовать эту ошибку, чтобы постоянно перезагружать камеру или изменять настройки сети и блокировать владельца от просмотра видеопотока.
Они также смогли восстановить заводскую настройку камеры, что побудит злоумышленника изменить учетные данные, предоставив им эксклюзивный доступ к каналу камеры.
Axis Communications подтвердила, что на 249 из 251 моделей камеры наблюдения повлиял недостаток, обозначенный как CVE-2017-9765. Компания уже выпустила обновление прошивки 10 июля для решения проблемы.