魔鬼的常春藤致电IoT安全的行动
统一通信供应商MITEL BUYS CONTSERITION SHORETEL
不,9亿个Android设备并非“Quadrooter”怪物的风险
皇家社会和英国学院呼吁数据治理机构
花生有目的:sen.se在IFA中推出新的智能传感器
团体反对美国计划从访客收集社交媒体信息
骑马车辆,机动行李箱
微软在云相关公司Rejig中削减了数千个工作
迪拜延长了飞行出租车的测试运行
CVS推出CVS支付,计划在全国范围内推出
英国军队借鉴基础设施刷新和自动化来电源Devops驱动器
一个新的opensuse linux即将到来,这是关于稳定性的全部
Nordea部署AI以加快客户服务
Android 7.0 Nougat - 当您的手机升级时
Doug切割,'Hadoop的“父亲”,谈论大数据技术演变
第一个企业连接到南约克郡千兆宽带网络
丹麦移动支付用户获得锁屏和触摸ID技术
天空创建300个科技工作,以媒体服务的支持能力
如果未经操作系统,欧洲法院规则,消费者无权购买PC
Phugs为PC的Androids和Hitler Ransomware开发猫主题的ransomware
英特尔新的Kaby Lake Chips for PC:这是公司的愿景
Facebook将使用WhatsApp用户的个人数据来定位广告
Microsoft重新启动Windows 10 Beta构建
英特尔可以特别用于混合现实耳机的芯片
英国法院的人口“违法”数据集合
顶级欧盟法院对花花公子案件的超链接合法性问题谴责
迪拜用生物识别边境检查取代护照控制
9月7日向老朋友戴尔技术说你好
法院说,可以起诉网络监控软件的制造商
IBM的炽热电力9芯片即将到来,这是您需要知道的
Wannacry Hero Malo Marware试验推迟了
阿布扎比使用监控技术来保护大奖赛
福特,麻省理工学院使用波士顿人的手机位置数据进行交通规划
它的毛刺将铁路票机带到英国
Adobe修补ColdFusion应用程序服务器中的关键漏洞
为什么企业家精神是唯一逃离AI燃料失业的逃脱
你的脆弱包是否安全?询问英特尔的微小物联网芯片
医学院退出惠普规模计算超融合
您的隐形眼镜如何与您的手机交谈
化石旨在使Smartwatches成为时尚
Tableau转向AWS为云救人首席执行官
Oracle针对B2B营销人员,具有新的观众数据
隐身,棘手删除rootkit目标Linux系统和x86
曼彻斯特举办国际信息自由活动
IBM的Power9芯片即将到来,这是您需要知道的
下一步数字政府职位选?
美国海军陆战队正在测试口袋大小的直升机无人机
宽带满意度水平随着BRITS流的更多内容而下降
Top Surgeon说,5G创新的优点可能超过NHS的成本
警务应该拥抱IOT机会
您的位置:首页 >产品 > 商业评论 >

魔鬼的常春藤致电IoT安全的行动

2021-07-15 20:44:09 [来源]:

研究人员从轴通信制作的安全摄像机已经发现了一个堆栈缓冲区溢出漏洞,它们已经被称为Devil的常春藤。

Security Firmsenriofound的研究人员认为漏洞可以通过攻击者利用,以便远程访问视频源或拒绝所有者对饲料的访问。

“由于这些相机是为了确保某些东西,就像银行大厅一样,这可能导致敏感信息的收集或阻止犯罪被观察或记录,”在博客文章中写道。

虽然轴已经发布了249个相机型号的安全补丁,但是安全研究人员表示,魔鬼的常春藤的影响远远超出轴线,因为它位于通信层中,在开源第三方工具包叫做(简单的对象访问协议)中。

研究人员说,GSoAP协议ISA广泛使用的Web服务工具包,以及世界各地的开发人员使用GSoAP作为软件堆栈的一部分,以使各种设备与互联网通信。

虽然很难确定可以利用GSoAP的设备的程度,但研究人员表示,依赖GSoAP支持其服务的所有软件或设备制造商都受到魔鬼的常春藤的影响。

Genivia是管理GSoAP的公司,声称GSOAP的索赔凭借IBM,Microsoft,Adobe和Xerox作为客户。

AXIS通信是作为ONVIF开发人员论坛的一部分的成千上万的公司之一,该论坛负责标准化物理安全产品的IP连接,并依赖于SOAP来支持ONVIF规范。大约6%的论坛成员使用GSoAP。

“塞里奥研究人员说:”很多产品 - 软件产品和连接的设备 - 通过魔鬼的常春藤受到一定程度的影响,“塞里奥研究人员表示。

“很少有数百万产品受到魔鬼常春藤的影响”塞里奥研究人员

虽然服务器更有可能被剥削,但研究表明,如果他们从恶意服务器收到SOAP消息,客户端可能会易受攻击。

除了由Axis发出的相机安全补丁外,Genivia还发布了一个补丁和Onvif,警告其成员,以便如果他们使用GSoAP,它们可以迅速移动以开发修复。

Senrio建议组织尽可能通过将防火墙或其他防御机制放置在设备前面或使用网络地址转换(NAT)来减少曝光并提高检测威胁的可能性,尽可能地捍卫物联网(物联网)设备。

虽然它识别出补丁的物联网设备并不总是可能,但是塞里奥还建议组织在制造商释放修补程序时尽快更新设备,但如果不可能,它建议将其他易受攻击设备之间的其他安全性放置在易受攻击的设备之间外部互联网。

研究人员表示,他们选择了名称魔鬼的常春藤,因为就像工厂一样,几乎不可能通过代码重复使用来快速杀死和传播。它的来源在第三方工具包下载了数百万次意味着它已经扩展到数千台设备,并且很难完全消除。

Chris Schmidt Synopsys的高级经理,表示,在第三方图书馆领域的普遍漏洞很好地了解,安全专家和软件工程师需要共同努力解决问题。

“软件将越来越多地依赖于代码重复使用和第三方库和框架,”他说。

根据Schmidt,当应用程序继承跨目的内容的库开发人员的风险,错误和漏洞导入以支持应用程序所需的功能时,使用未固化的代码将使用不成熟的代码。

“新图书馆创建和发布在线的速度超出了我们对其的充分审查的能力,并通过最新技术的时间可以在几小时内,基于像Twitter这样的社交网络的口碑,”他说。

“设备制造商仍然普遍缺乏漏洞识别和弱认证意味着我们可能面临数十年的问题”Mike Ahmadi,Synopsys

组织可以通过执行在它使用之前的第三方代码的核查和独立审查的政策来帮助锻炼这些类型的普遍存在问题。“然而,这一般不会规模并严重限制工程师以竞争速度创新的能力,”他补充道。

Mike Ahmadi,Synopsys的全球关键系统安全总监Mike Ahmadi说:“我们现在已经证明了一个大规模的物联网设备缺乏合理的漏洞识别和管理计划的世界。这与弱认证相结合,意味着许多这些设备只是在等待轮到他们成为“周”俱乐部“黑客的受害者。

“我们已经设法进入一个洞,在它变得更好之前会变得更糟。仍然普遍存在的漏洞识别和设备制造商的弱认证意味着我们可能面临数十年的问题。我讨厌画出一个严峻的画面,但希望它将使组织致力于积极解决这些问题的更多资源。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。