Миллионы IoT-устройств имели уязвимость «Devil's Ivy» из-за библиотеки с открытым исходным кодом

Опубликовано: 24 июля 2017 г., понедельник

Уязвимость ​"Devil's Ivy" (Плющ Дьявола), вероятно, останется неустраненной в течение длительного времени из-за ситуации «повторное использование кода - повторное использование уязвимостей».

Уязвимость в широко используемой библиотеке кода, известной как gSOAP, выявила подверженность миллионы IoT-устройств, таких как камеры безопасности, удаленной атаке.

Исследователи из фирмы Senrio по защите IoT-устройств  обнаружили уязвимость "Devil's Ivy", ошибку переполнения буфера стека, исследуя службы удаленной конфигурации купольной камеры M3004 от Axis Communications. Ошибка возникает при отправке большого XML-файла на веб-сервер уязвимой системы.

Эта уязвимость относится к gSOAP, библиотеке кода веб-сервисов с открытым исходным кодом, поддерживаемой Genivia, которая импортируется службой удаленной настройки камеры Axis. Исследователи Senrio смогли использовать эту ошибку, чтобы постоянно перезагружать камеру или изменять настройки сети и блокировать владельца от просмотра видеопотока.

Они также смогли восстановить заводскую настройку камеры, что побудит злоумышленника изменить учетные данные, предоставив им эксклюзивный доступ к каналу камеры.

Axis Communications подтвердила, что на 249 из 251 моделей камеры наблюдения повлиял недостаток, обозначенный как CVE-2017-9765. Компания уже выпустила обновление прошивки 10 июля для решения проблемы.

Источник: zdnet.com
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Ericsson создает отраслевую платформу для лицензирования технологий «интернета вещей»

Компания Ericsson анонсирует платформу, обеспечивающую разработчикам новых IoT–устройств доступ к технологиям, запатентованным другими компаниями. подробнее »