Millioner af Ti enheder er sårbare over for cybersikkerhed angreb på grund af en sårbarhed i første omgang opdaget i eksterne overvågningskameraer,
Senrio rapporterede i denne uge.
Firmaet har fundet en fejl i en sikkerhed kamera er udviklet af Axis Communications, der er en af verdens største producenter af udstyr.
Modellen 3004 sikkerhed kamera er brugt til sikkerhed i Los Angeles ‘ Internationale Lufthavn og andre steder, i henhold til Senrio.
Problemet viste sig at være en stak buffer overflow, som virksomheden døbt “Devil’ s Ivy.”
Akse meddelt det vagtselskab, der 249 forskellige modeller af kameraet blev ramt af sårbarheden. Det findes kun tre modeller, der var upåvirket.
Begravet
Problemet ligger dybt i kommunikation lag af
gSOAP, en open source tredjeparts-toolkit, der er brugt af alle former for enheden beslutningstagere for tingenes internet-teknologi, i henhold til Senrio.
gSOAP manager Genivia rapporterede, at de toolkit er blevet downloadet mere end 1 million gange, i henhold til Senrio. De fleste af de downloads er sandsynligvis involveret udviklere. Store virksomheder, bl.a. IBM, Microsoft, Adobe og Xerox er kunder hos firmaet.
Genivia
der er udstedt en ny patch til gSOAP inden for 24 timer for at blive klar til den sårbarhed, og sagde, at det anmeldte kunder af problemet, ifølge administrerende DIREKTØR Robert van Engelen.
Den obskure fejlen var forårsaget af en bestemt heltalsunderløb, efterfulgt af en anden utilsigtet heltalsunderløb, der udløste fejlen, fortalte han LinuxInsider.
“Det udløse der sker, når mindst 2 GB af XML-data, der er uploadet til en webserver,” van Engelen forklaret. “Fejlen blev ikke opdaget af proprietær statisk analyse med værktøjer eller med vores kilde-kode-brugere, der kiggede på kildekoden siden 2002.
Visse ONVIF enheder fungere som Web-servere, der gør dem sårbare, når den er opsat til at acceptere mere end 2 GB af XML-data, bemærkede han.
Omfattende Problem
Mange store producenter, der bruger den samme kilde, ONVIF-forum, for deres netværksprotokol, biblioteker, bemærkes, Ryan Spanier, direktør for forskning på
Kudelski Sikkerhed.
Fordi det er et delt bibliotek, sårbarhed findes i et stort antal af enheder, han fortalte LinuxInsider.
“Virksomheder, der regelmæssigt integrere hardware og software til deres udstyr, som de ikke skriver sig selv,” Spanier sagde. “På nogle måder, dette svarer til den Mirai botnet, men i dette tilfælde kan de målrettet en usikker bagdør til stede i en chip, der anvendes af flere kameraproducenter.”
Den Mirai botnet, der ramte sidste år, var en af de største hændelser, der nogensinde er registreret, der er rettet mod KrebsOnSecurity blog med et massivt DDoS-angreb, der måles 620 gigabyte per sekund.
En hændelse som Devil ‘ s Ivy var uundgåelig, observeret Bryan Singer, direktør for industriel internetsikkerhed på
IOActive.
“I den veritable tryk teknologi, det er alt for almindeligt, at de drev i retning af først-til-marked-funktionalitet dårligt overhale solid, sikker design,” fortalte han LinuxInsider. “Desværre, denne hoved-smack øjeblik er alt for almindelige.”
Leverandører nødt til at revidere passende komponenter for sikkerheden, Dustin Childs, communications manager for Trend Micro ‘ s zero day initiative, fortalte LinuxInsider, som “misforstået eller dårligt implementeret open source-software gør det muligt for angribere en vej til at omgå sikkerheds-mekanismer.”
