+11 голос |
Дефект кода в широко используемой открытой программной библиотеке веб-сервисов, gSOAP, вызывает ошибку переполнения буфера, оставляя IoT-оборудование беззащитным от атак хакеров.
Фирма Senrio, которая занимается вопросами обеспечения безопасности Интернета Вещей, обнаружила баг, получивший название Devil’s Ivy или CVE-2017-9765, в процессе проверки служб удалённого конфигурирования камеры кругового обзора M3004 производства Axis Communications. Переполнение буфера возникало при получении веб-сервером уязвимой системы крупного файла XML (величиной более 2 ГБ).
Используя эту недоработку, эксперты из Senrio могли ввести камеру в цикл непрерывных перезагрузок, изменить её сетевые настройки и блокировать владельцу устройства просмотр транслируемого видео. Кроме того, им удалось выполнить сброс на заводские настройки и перенастроить камеру с нуля, получив эксклюзивный доступ к её видеоданным.
Axis Communications 10 июля выпустила обновление прошивки, устраняющее эту проблему. Она также подтвердила, что 249 из её 251 моделей камер видеонаблюдения имеют данную уязвимость. Наибольшую опасность CVE-2017-9765 представляет для устройств Axis, доступных из публичного Интернета. Senrio оценила их количество приблизительно в 14 тыс. на 1 июля.
Однако реальные масштабы угрозы гораздо шире: фирма Genivia, осуществляющая поддержку gSOAP, среди клиентов имеет Adobe, IBM, Microsoft и Xerox, а число загрузок уязвимой библиотеки, по её заявлению, превысило один миллион.
Под ударом оказались и некоторые дистрибутивы Linux, которые теперь в срочном порядке устанавливают предложенный Senrio патч. В отличие от них, полная или даже сколь-нибудь значительная перепрошивка миллионов устройств IoT от разных производителей вряд ли возможна. Это означает, что угроза со стороны Devil’s Ivy, названного по имени практически неуничтожимого сорняка, останется актуальной в течение неопределенно долгого времени.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |