Millioner av IoT enheter er sårbare for cybersecurity-angrep på grunn av et sikkerhetsproblem i utgangspunktet oppdaget i ekstern sikkerhet kameraer,
Senrio rapporterte denne uken.
Firmaet funnet en feil i et overvåkningskamera som er utviklet av Axis Communications, en av verdens største produsenter av enheter.
Modellen 3004 sikkerhet kamera er brukt for sikkerhet på Los Angeles Internasjonale Lufthavn, og andre steder, i henhold til Senrio.
Problemet viste seg å være en stabel bufferoverflyt som fast kalt “Djevelens Eføy.”
Aksen varslet sikkerhet fast at 249 forskjellige modeller av kameraet ble berørt av sårbarheten. Det finnes kun tre modeller som var upåvirket.
Begravd Dypt
Problemet ligger dypt i kommunikasjon laget av
gSOAP, en åpen kildekode tredjepart toolkit som brukes av alle typer enheten beslutningstakere for IoT teknologi, i henhold til Senrio.
gSOAP manager Genivia rapportert at toolkit har blitt lastet ned mer enn 1 million ganger, i henhold til Senrio. De fleste av nedlastinger sannsynlig involvert utviklere. Store selskaper som IBM, Microsoft, Adobe og Xerox er kunder av firmaet.
Genivia
utstedt en ny oppdatering for gSOAP innen 24 timer etter å ha blitt varslet til sårbarhet, og sa det varslet kunder av problemet, ifølge administrerende DIREKTØR Robert van Engelen.
Den obskure feilen ble forårsaket av en beregnet heltall underflow, etterfulgt av en andre utilsiktede heltall underflow som utløste bug, fortalte han LinuxInsider.
Trigger skjer når minst 2 GB av XML-data som er lastet opp til en Internett-server,” van Engelen forklart. “Denne feilen ble ikke oppdaget av proprietær statiske analyseverktøy eller en av våre kildekoden brukere som så på kildekoden siden 2002.
Visse ONVIF enheter fungere som Web servere, noe som gjør dem sårbare når konfigurert til å godta mer enn 2 GB av XML-data, han bemerket.
Bredt Alt Problemet
Mange store produsenter bruker samme kilde, ONVIF forum, for deres nettverk protokoll biblioteker, bemerket Ryan Spanier, direktør for forskning på
Kudelski Sikkerhet.
Fordi det er et delt bibliotek, sårbarheten finnes i et stort antall enheter, fortalte han LinuxInsider.
“Selskaper jevnlig integrerer maskinvare og programvare i sine enheter som de gjorde ikke skrive selv,” Spanier sa. “På noen måter, dette er tilsvarende den Mirai botnet, men i så fall er de rettet et usikkert bakdør til stede i en brikke som brukes av flere kamera produsenter.”
Den Mirai botnet, som slo til i fjor, var en av de største hendelser som noen gang er registrert, rettet mot det KrebsOnSecurity blogg med en massiv DDoS angrep som målt 620 gigabyte per sekund.
En hendelse som Djevelens Ivy var uunngåelig, sa Bryan Singer, direktør for industrielle tjenester på cybersecurity
IOActive.
“I veritabel push-teknologi, det er altfor vanlig at stasjonen mot første-til-marked funksjonalitet vil dårlig outpace solid, sikker design,” fortalte han LinuxInsider. “Dessverre, dette hodet-smack øyeblikk er alt for vanlig.”
Leverandører trenger å overvåke komponenter på riktig måte med hensyn til sikkerhet, Dustin Childs, communications manager for Trend Micro ‘ s zero day initiative, fortalte LinuxInsider, som “misforstått eller dårlig implementert programvare med åpen kildekode gjør at angripere en vei å omgå sikkerhetsmekanismer.”