魔鬼的常春藤致电IoT安全的行动
研究人员从轴通信制作的安全摄像机已经发现了一个堆栈缓冲区溢出漏洞,它们已经被称为Devil的常春藤。
Security Firmsenriofound的研究人员认为漏洞可以通过攻击者利用,以便远程访问视频源或拒绝所有者对饲料的访问。
“由于这些相机是为了确保某些东西,就像银行大厅一样,这可能导致敏感信息的收集或阻止犯罪被观察或记录,”在博客文章中写道。
虽然轴已经发布了249个相机型号的安全补丁,但是安全研究人员表示,魔鬼的常春藤的影响远远超出轴线,因为它位于通信层中,在开源第三方工具包叫做(简单的对象访问协议)中。
研究人员说,GSoAP协议ISA广泛使用的Web服务工具包,以及世界各地的开发人员使用GSoAP作为软件堆栈的一部分,以使各种设备与互联网通信。
虽然很难确定可以利用GSoAP的设备的程度,但研究人员表示,依赖GSoAP支持其服务的所有软件或设备制造商都受到魔鬼的常春藤的影响。
Genivia是管理GSoAP的公司,声称GSOAP的索赔凭借IBM,Microsoft,Adobe和Xerox作为客户。
AXIS通信是作为ONVIF开发人员论坛的一部分的成千上万的公司之一,该论坛负责标准化物理安全产品的IP连接,并依赖于SOAP来支持ONVIF规范。大约6%的论坛成员使用GSoAP。
“塞里奥研究人员说:”很多产品 - 软件产品和连接的设备 - 通过魔鬼的常春藤受到一定程度的影响,“塞里奥研究人员表示。
“很少有数百万产品受到魔鬼常春藤的影响”塞里奥研究人员虽然服务器更有可能被剥削,但研究表明,如果他们从恶意服务器收到SOAP消息,客户端可能会易受攻击。
除了由Axis发出的相机安全补丁外,Genivia还发布了一个补丁和Onvif,警告其成员,以便如果他们使用GSoAP,它们可以迅速移动以开发修复。
Senrio建议组织尽可能通过将防火墙或其他防御机制放置在设备前面或使用网络地址转换(NAT)来减少曝光并提高检测威胁的可能性,尽可能地捍卫物联网(物联网)设备。
虽然它识别出补丁的物联网设备并不总是可能,但是塞里奥还建议组织在制造商释放修补程序时尽快更新设备,但如果不可能,它建议将其他易受攻击设备之间的其他安全性放置在易受攻击的设备之间外部互联网。
研究人员表示,他们选择了名称魔鬼的常春藤,因为就像工厂一样,几乎不可能通过代码重复使用来快速杀死和传播。它的来源在第三方工具包下载了数百万次意味着它已经扩展到数千台设备,并且很难完全消除。
Chris Schmidt Synopsys的高级经理,表示,在第三方图书馆领域的普遍漏洞很好地了解,安全专家和软件工程师需要共同努力解决问题。
“软件将越来越多地依赖于代码重复使用和第三方库和框架,”他说。
根据Schmidt,当应用程序继承跨目的内容的库开发人员的风险,错误和漏洞导入以支持应用程序所需的功能时,使用未固化的代码将使用不成熟的代码。
“新图书馆创建和发布在线的速度超出了我们对其的充分审查的能力,并通过最新技术的时间可以在几小时内,基于像Twitter这样的社交网络的口碑,”他说。
“设备制造商仍然普遍缺乏漏洞识别和弱认证意味着我们可能面临数十年的问题”Mike Ahmadi,Synopsys组织可以通过执行在它使用之前的第三方代码的核查和独立审查的政策来帮助锻炼这些类型的普遍存在问题。“然而,这一般不会规模并严重限制工程师以竞争速度创新的能力,”他补充道。
Mike Ahmadi,Synopsys的全球关键系统安全总监Mike Ahmadi说:“我们现在已经证明了一个大规模的物联网设备缺乏合理的漏洞识别和管理计划的世界。这与弱认证相结合,意味着许多这些设备只是在等待轮到他们成为“周”俱乐部“黑客的受害者。
“我们已经设法进入一个洞,在它变得更好之前会变得更糟。仍然普遍存在的漏洞识别和设备制造商的弱认证意味着我们可能面临数十年的问题。我讨厌画出一个严峻的画面,但希望它将使组织致力于积极解决这些问题的更多资源。“