Миллионы IoT-устройств имели уязвимость «Devil's Ivy» из-за библиотеки с открытым исходным кодом

Уязвимость ​"Devil's Ivy" (Плющ Дьявола), вероятно, останется неустраненной в течение длительного времени из-за ситуации «повторное использование кода - повторное использование уязвимостей».

Уязвимость в широко используемой библиотеке кода, известной как gSOAP, выявила подверженность миллионы IoT-устройств, таких как камеры безопасности, удаленной атаке.

Исследователи из фирмы Senrio по защите IoT-устройств  обнаружили уязвимость "Devil's Ivy", ошибку переполнения буфера стека, исследуя службы удаленной конфигурации купольной камеры M3004 от Axis Communications. Ошибка возникает при отправке большого XML-файла на веб-сервер уязвимой системы.

Эта уязвимость относится к gSOAP, библиотеке кода веб-сервисов с открытым исходным кодом, поддерживаемой Genivia, которая импортируется службой удаленной настройки камеры Axis. Исследователи Senrio смогли использовать эту ошибку, чтобы постоянно перезагружать камеру или изменять настройки сети и блокировать владельца от просмотра видеопотока.

Они также смогли восстановить заводскую настройку камеры, что побудит злоумышленника изменить учетные данные, предоставив им эксклюзивный доступ к каналу камеры.

Axis Communications подтвердила, что на 249 из 251 моделей камеры наблюдения повлиял недостаток, обозначенный как CVE-2017-9765. Компания уже выпустила обновление прошивки 10 июля для решения проблемы.