- A+
代号为Devil的常春藤的漏洞使成千上万的互联网连接设备面临黑客攻击的风险。
由Senrio的安全研究人员发现,这个漏洞影响了gSOAP,这是一个广泛用于嵌入式设备固件开发的C / C ++库。
gSOAP是由Genivia开发的双重许可(免费和商业)产品,在其网站上称该库将帮助公司“开发符合XML,XML Web服务,WSDL的最新行业标准的产品”和SOAP,REST,JSON,WS-Security,带有SAML的WS-Trust,WS-ReliableMessaging,WS-Discovery,TR-069,ONVIF,AWS,WCF等。“
最初在安全摄像头固件中发现的漏洞
Senrio的研究人员最初在分析Axis M3004安全摄像头的固件时发现了这个漏洞。
在与相机供应商联系他们的调查结果后,Axis告诉Senrio,Devil的Ivy漏洞影响了公司制造的252个安全摄像头模型中的249个,它们使用包含gSOAP工具包的固件。
该漏洞是一个简单的缓冲区溢出,但Senrio研究人员已设法使用它来执行Axis安全摄像头上的代码。 研究人员录制的视频嵌入在下面,演示攻击:
Axis已为某些受影响的设备发布了固件更新。 GSOAP背后的公司Genivia也在6月21日发布了2.8.48版本,该版本包含了Devil's Ivy的补丁。
魔鬼的常春藤缺陷会影响“成千上万的设备”
问题是gSOAP在许多物联网和网络设备供应商中非常受欢迎。 在他们的网站上,Genivia声称图书馆的下载量超过了一百万次。
该库是ONVIF论坛推荐的编码工具之一,ONVIF论坛是一个非官方的国际硬件供应商组织,负责就网络相关的最佳实践提出建议。
根据Senrio获得的数据,大约6%的ONVIF成员使用gSOAP作为他们的产品。 Senrio估计“成千上万的设备”可能容易受到Devil's Ivy的攻击。
来源:HTTPS://www.bleepingcomputer.com/news/security/coding-library-vulnerability-may-trickle-down-to-thousands-of-iot-devices/
