Ошибка в открытой библиотеке поставила под угрозу миллионы IoT-устройств

Дефект кода в широко используемой открытой программной библиотеке веб-сервисов, gSOAP, вызывает ошибку переполнения буфера, оставляя IoT-оборудование беззащитным от атак хакеров.

Фирма Senrio, которая занимается вопросами обеспечения безопасности Интернета Вещей, обнаружила баг, получивший название Devil’s Ivy или CVE-2017-9765, в процессе проверки служб удалённого конфигурирования камеры кругового обзора M3004 производства Axis Communications. Переполнение буфера возникало при получении веб-сервером уязвимой системы крупного файла XML (величиной более 2 ГБ).

Используя эту недоработку, эксперты из Senrio могли ввести камеру в цикл непрерывных перезагрузок, изменить её сетевые настройки и блокировать владельцу устройства просмотр транслируемого видео. Кроме того, им удалось выполнить сброс на заводские настройки и перенастроить камеру с нуля, получив эксклюзивный доступ к её видеоданным.

Axis Communications 10 июля выпустила обновление прошивки, устраняющее эту проблему. Она также подтвердила, что 249 из её 251 моделей камер видеонаблюдения имеют данную уязвимость. Наибольшую опасность CVE-2017-9765 представляет для устройств Axis, доступных из публичного Интернета. Senrio оценила их количество приблизительно в 14 тыс. на 1 июля.

Однако реальные масштабы угрозы гораздо шире: фирма Genivia, осуществляющая поддержку gSOAP, среди клиентов имеет Adobe, IBM, Microsoft и Xerox, а число загрузок уязвимой библиотеки, по её заявлению, превысило один миллион.

Под ударом оказались и некоторые дистрибутивы Linux, которые теперь в срочном порядке устанавливают предложенный Senrio патч. В отличие от них, полная или даже сколь-нибудь значительная перепрошивка миллионов устройств IoT от разных производителей вряд ли возможна. Это означает, что угроза со стороны Devil’s Ivy, названного по имени практически неуничтожимого сорняка, останется актуальной в течение неопределенно долгого времени.