Miljontals IoT-enheter som är känsliga för it-attacker på grund av en sårbarhet som ursprungligen upptäcktes i remote-kameror,
Senrio rapporterade i veckan.
Företaget hittat fel i en säkerhet kamera utvecklad av Axis Communications, en av världens största tillverkare av enheter.
Modellen 3004 övervakningskamera används för säkerheten vid Los Angeles Internationella Flygplats och andra platser, enligt Senrio.
Problemet visade sig vara en stack buffer overflow, som företaget kallas “Devil’ s Murgröna.”
Axis anmälda bevakningsföretag som 249 olika modeller av kameran drabbades av sårbarhet. Det finns bara tre modeller som var opåverkade.
Begravd Djupt
Problemet ligger djupt i kommunikation lager
gSOAP, en öppen källkod från tredje part verktyg som används av alla typer av enheten beslutsfattare för sakernas internet, teknik, enligt Senrio.
gSOAP manager Genivia rapporterade att de verktyg som har laddats ner mer än 1 miljoner gånger, enligt Senrio. De flesta nedladdningar sannolikt involverad utvecklare. Stora företag som IBM, Microsoft, Adobe och Xerox är kunder till företaget.
Genivia
utfärdat en ny patch för gSOAP inom 24 timmar för att vara uppmärksam på felet, och sa att det anmälda kunder av problemet, enligt VD Robert van Engelen.
Den dunkla fel som orsakas av en för ändamålet avsedd heltalsunderspill, följt av en andra oavsiktliga heltalsunderspill som utlöste felet, han berättade LinuxInsider.
“Den utlösande händer när minst 2 GB av XML-data laddas upp till en webbserver,” van Engelen förklaras. “Felet upptäcktes inte av proprietär statisk analys verktyg eller genom vår källkod användare som tittade på källkoden sedan 2002.
Vissa ONVIF-enheter fungerar som Web-servrar, vilket gör dem sårbara när den är konfigurerad för att ta emot mer än 2 GB av XML-data, konstaterade han.
Omfattande Problem
Många stora tillverkare använder samma källa, ONVIF-forum, för deras nätverk protokoll bibliotek, konstaterade Ryan Spanier, chef för forskning vid
Kudelski Säkerhet.
Eftersom det är ett delat bibliotek, sårbarheten finns i ett stort antal enheter, han berättade LinuxInsider.
“Företag regelbundet integrera hårdvara och mjukvara i sina enheter så att de inte skriver sig själva,” Spanier sade. “På sätt och vis, detta är liknande till Mirai botnet, men i så fall är de riktade en osäker bakdörr finns i ett chip som används av flera kameratillverkare.”
Den Mirai botnät, som slog förra året, var en av de största händelser som någonsin registrerats, med inriktning på KrebsOnSecurity blogg med en massiv DDoS-attack som mäts 620 gigabyte per sekund.
En incident som Djävulens Ivy var oundvikligt, observerade Bryan Singer, chef för industrial it-tjänster på
IOActive.
“I riktig push-teknik, är det alltför vanligt att de kör mot första-att-marknaden-funktionen kommer att dåligt växa snabbare än solid, säker design”, sa han till LinuxInsider. “Tyvärr, detta huvud-smack ögonblick är allt för vanligt.”
Leverantörer behöver för att granska komponenter på lämpligt sätt för säkerhetsändamål, Dustin Childs, kommunikationschef för Trend Micro ‘ s zero day initiative, berättade LinuxInsider, som “missförstådd eller dåligt genomförda öppen källkod som gör det möjligt för angripare en väg att kringgå säkerhetsmekanismer.”
