Библиотека с недочетами в коде делает миллионы IOT-устройств уязвимыми

Для десятков миллионов устройств – от камер наблюдения в аэропортах до сетевого оборудования – характерна уязвимость, которая позволяет атакующим удаленно получить над ними контроль или привести их в нерабочее состояние.

Уязвимость, получившую название Devil’s Ivy (дьявольский плющ), обнаружили исследователи из Senrio, которые отдельно акцентировали внимание на камерах наблюдения производства Axis Communications. В Senrio утверждают, что 249 моделей камер Axis из 251 позволяют удаленно перехватывать видеопоток, перезагружать камеры или останавливать запись.

По утверждению исследователей, это касается не только Axis Communications –34 компании, в том числе Microsoft, IBM, Xerox и Adobe, используют то же самое уязвимое ПО. Все эти компании входят в ONVIF Forum, неофициальное международное объединение производителей аппаратного обеспечения.

Исследователи уверены, что уязвимый код, использованный в библиотеке функций, написан именно ONVIF, в задачи которого входит поддержка программ и сетевых протоколов, используемых входящими в него компаниями. «Конечно, консорциумы вроде ONVIF очень удобны, когда дело касается вопросов эффективности, совместимости и снижения стоимости, но переиспользование кода – это переиспользование уязвимостей» – говорят исследователи.

Уязвимость прячется в коммуникационной части библиотеки gSOAP, используемой в этих устройствах, которая широко используется при разработке веб-сервисов, позволяя устройствам взаимодействовать с Интернетом. По данным Senrio, порядка 6% участников форума используют эту библиотеку.

Уязвимость позволяет злоумышленникам удаленно завалить устройство трафиком через 80-й порт и таким образом создать переполнение буфера. Затем злоумышленники могут отправить специальный набор данных, который позволяет удаленному пользователю, не проходившему процедуру аутентификации, исполнять код на уязвимых устройствах.

Майкл Танджи (Michael Tanji), COO и сооснователь Senrio, сообщил Threatpost, что в большинстве случаев атака будет замечена из-за огромного количества данных, которые передаются камере или другому атакуемому IoT-устройству в момент атаки.

«В случае камер gSOAP – это большая проблема, хотя в случае других устройств и других применений gSOAP может быть не столь критичным. Мы не знаем, мы не проводили столь широкое исследование.» – говорит Майкл.

В Senrio утверждают, что сообщили компаниям об уязвимости еще в мае, дождались, пока Axis и Genivia выпустят патч, и только затем публично объявили о существовании уязвимости. Сканирование при помощи IoT-поисковика Shodan позволяет обнаружить 14 700 камер Axis с уязвимостью Devil’s Ivy. Senrio советует их патчить, а также не делать устройства наблюдения доступными напрямую из Интернета и прятать их за файерволл.