`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Ошибка в открытой библиотеке поставила под угрозу миллионы IoT-устройств

+11
голос
Баг в открытой библиотеке поставил под угрозу миллионы IoT-устройств

Дефект кода в широко используемой открытой программной библиотеке веб-сервисов, gSOAP, вызывает ошибку переполнения буфера, оставляя IoT-оборудование беззащитным от атак хакеров.

Фирма Senrio, которая занимается вопросами обеспечения безопасности Интернета Вещей, обнаружила баг, получивший название Devil’s Ivy или CVE-2017-9765, в процессе проверки служб удалённого конфигурирования камеры кругового обзора M3004 производства Axis Communications. Переполнение буфера возникало при получении веб-сервером уязвимой системы крупного файла XML (величиной более 2 ГБ).

Используя эту недоработку, эксперты из Senrio могли ввести камеру в цикл непрерывных перезагрузок, изменить её сетевые настройки и блокировать владельцу устройства просмотр транслируемого видео. Кроме того, им удалось выполнить сброс на заводские настройки и перенастроить камеру с нуля, получив эксклюзивный доступ к её видеоданным.

Axis Communications 10 июля выпустила обновление прошивки, устраняющее эту проблему. Она также подтвердила, что 249 из её 251 моделей камер видеонаблюдения имеют данную уязвимость. Наибольшую опасность CVE-2017-9765 представляет для устройств Axis, доступных из публичного Интернета. Senrio оценила их количество приблизительно в 14 тыс. на 1 июля.

Однако реальные масштабы угрозы гораздо шире: фирма Genivia, осуществляющая поддержку gSOAP, среди клиентов имеет Adobe, IBM, Microsoft и Xerox, а число загрузок уязвимой библиотеки, по её заявлению, превысило один миллион.

Под ударом оказались и некоторые дистрибутивы Linux, которые теперь в срочном порядке устанавливают предложенный Senrio патч. В отличие от них, полная или даже сколь-нибудь значительная перепрошивка миллионов устройств IoT от разных производителей вряд ли возможна. Это означает, что угроза со стороны Devil’s Ivy, названного по имени практически неуничтожимого сорняка, останется актуальной в течение неопределенно долгого времени.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT