gSOAP 开源软件开发库曝“绿萝”漏洞,数百万 IoT 设备岌岌可危

还记得前几天 Avanti 自动售货机出现漏洞,泄露大量用户信息的事儿吗?这才没过多久,另外一个针对 IoT 设备的攻击又出现了,这次中招的是开发 IoT 设备的开源软件开发库,可能影响数百万 IoT 设备。

安全研究员发现大量 IoT 设备开发者所使用的开源软件开发库 gSOAP 中出现了一个严重的远程代码执行漏洞,可能会影响数百万 IoT 设备。

gSOAP 是一个双授权库(可免费使用也可用于商业化目的),由 Genivia 公司开发并维护,其中 SOAP 是 Simple Object Access Protocol 的首字母缩写,意为简单对象访问协议。gSOAP 是广泛应用于嵌入式设备固件开发的 C/C++ 库。Genivia 在其官网表示, gSOAP 库可以帮助厂商“开发符合业内最新 XML、XML WebService、WSDL、SOAP、 REST, JSON, WS-Security 等标准的产品。”

IoT 安全公司 Senrio 的研究员最先在 gSOAP 中发现这个漏洞(编号 CVE-2017-9765 ),并将其命名为 “Devil’s Ivy”(绿萝)。“绿萝” 是一个堆栈缓冲区溢出漏洞,可允许黑客远程攻击(DOS 攻击) SOAP Web 服务后台程序,并在存在漏洞的设备上执行任意代码。

Senrio 表示,之所以将这个漏洞命名为“绿萝”,是因为这个漏洞就像绿萝一样,很难杀死,而且通过代码重用可以很快地蔓延。这个漏洞存在于下载量达上百万的第三方工具包中,可以影响数百万 IoT 设备,且很难清除。

主要攻击 Axis 安全摄像头

研究人员是在分析 Axis M3004安全摄像头产品时,首次发现了 “绿萝” 漏洞。“绿萝” 攻击过 Axis Communications (安讯士网络通讯公司)开发的安全联网摄像头,下面的视频就演示了整个攻击过程。

利用“绿萝”时,攻击者可以远程访问一段视频资料,或阻止原用户访问该视频资料。 本来这个摄像头主要用于安保,例如用于银行大厅监控等。如果被攻击,会导致敏感信息泄露,或导致监控者无法及时发现或记录犯罪行为,造成犯罪证据丢失。

研究人员利用逆向工具 IDA Pro ,检测到了“绿萝”的部分攻击详情:

漏洞影响与修复

Axis 公司承认其 252 款摄像头产品中有 249 款都受到“绿萝”漏洞影响,并在 6 月 6 日发布了升级固件用于修复漏洞。相关用户应当立即进行升级更新。

以下是完整摄像头型号清单,用户可以对照清单,确认自己的摄像头型号并采取相应修复措施。

漏洞爆发后, Axis 立刻向负责维护 gSOAP 的 Genivia 公司上报了这个漏洞,Genivia 随后在 6 月 21 日发放了补丁),并联系了 ONVIF ,将漏洞通告所有使用 gSOAP 的 ONVIF 会员(包括佳能、思科、西门子等),督促这些厂商尽快修复漏洞。ONVIF 全称为开放网络视频接口论坛,是一个国际非营利组织,由一群硬件厂商自发组成,经常发布 IT 技术及解决方案等。

尽管 Axis 在产品中修复了 “绿萝” 漏洞,但研究人员仍然忧心忡忡,他们认为这个漏洞还可能影响其他 IoT 设备,因为佳能、西门子、思科、日立等很多大型厂商都使用 gSOAP 这个开发库。而且,gSOAP 拥有庞大的 IoT 开发者用户群体。Genivia 曾在官网宣称,gSOAP 的下载量超过了 100 万次。

发现漏洞的 Senrio 公司分析了自己所掌握的信息,发现约有 6% 的 NOVIF 会员使用 gSOAP 开发产品,Senrio 据此推断,可能有数百万设备会受到“绿萝”的影响。

应对关于 IoT 的攻击

也许在生活中,我们所熟悉的联网设备就是个人计算机和手机,但事实上,大到路口的红绿灯,小到手腕上的可穿戴设备,都属于 IoT 设备。IoT设备充斥着我们生活的方方面面,其安全问题不容忽视。

近些年来,IoT 设备漏洞频发,可谓是网络安全中最脆弱的一环。黑客往往利用 IoT 设备的漏洞,入侵安全网络,进行更严重的破坏。检测出“绿萝”之后,Senrio 公司也针对 IoT 安全提出了一些建议:

1.安全硬件设施不要连接公共网络:7月1日,一名苏丹研究员表示,超过14700台Axis球形监控摄像头出现漏洞,任何人都可访问监控视频。事实上,所有存在“绿萝”漏洞的摄像头都很容易被利用。安全摄像头这类设备应该连接到个人网络,这样才能降低被入侵的可能。 2. 尽可能地做好一切 IoT 安全防护措施:为 IoT 设备设置防火墙或使用 NAT (网络地址转换)技术,可以减少 IoT 设备的曝光程度,并提升威胁检测指数。 3. 及时更新并打补丁:漏洞在所难免。出现漏后,用户能做的就是在补丁发布的第一时间下载更新,及时修复。

对于厂商而言,加入像 ONVIF 这样的团体可能大有益处。在这类团体中,不仅能实现快速应急响应和联动,及时有效止损,还能实现更多技术交流和威胁情报互换,尽可能地减少安全风险。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BestSDK

防止云数据泄露,做好这5步很重要

为了保证业务及时运行,业务的安全性可以成为事后的考虑。在将产品或服务交付给客户的手中之后,企业喜欢一劳永逸。但当今的企业需要一个既安全又可靠的安全云环境。   ...

6096
来自专栏重庆的技术分享区

注意以下5种黑客攻击小企业的方式

在过去的几年中发生了如此多的备受瞩目的黑客攻击和网络攻击,很容易陷入小企业很少成为攻击目标。毕竟,大企业可以提供更多,特别是涉及个人或敏感数据时 - 对吗?

1022
来自专栏云计算D1net

如何确保混合云的安全性和性能?

部署只是混合云实施的一半工作。用户应如何确保他们的混合云环境是安全的并保持高性能运行的? 在零售业巨头Home Depot and Target发生了重大数据泄...

3547
来自专栏农夫安全

如何给企业做好基本的网络安全防御工作

企业防御 这里总结的是企业在做安全防御的统筹方法,并不是具体某个漏洞如何修复~ 信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏...

9064
来自专栏BestSDK

恶意推送SDK来袭,300多款APP遭破坏

近日,腾讯TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK),取名为“寄生推”,因为其拥有如“寄生虫”一般的恶意推广手段。

1363
来自专栏信安之路

IT和信息安全备忘单

尽管我们试图积极主动地处理信息安全,IT规划或项目管理,但我们会分心或拖延。这些信息安全备忘单,清单和模板旨在帮助IT专业人员处理困难的情况。

1160
来自专栏企鹅号快讯

研究人员警示智能音箱等物联网设备存在较多安全问题

安全公司趋势科技在最新发布的报告中警示用户考虑购买现在比较流行的智能音箱类设备时应考虑安全问题。 提示这个警示的原因在于研究人员在某些智能音箱中发现众多漏洞,允...

21611
来自专栏云计算D1net

2018年需应对的五大云安全威胁

2018年已经到来,IT安全团队在这一年中将继续努力确保他们的云部署安全。人们需要注意与API、物联网以及人为错误相关的常见风险。 虽然保护数据的需求并不新鲜,...

3555
来自专栏FreeBuf

Google Project Shield如何抵御DDoS攻击?这个案例可以初探端倪

对安全专家Brian Krebs来说,去年9月的第三个星期可以算是一段暗无天日的时光,大量持续不断的DoS攻击波涌向其个人网站KrebsOnSecurity,峰...

3428
来自专栏安恒信息

APP漏洞将成黑客攻击突破口 应用安全不容忽视

国家互联网应急中心之前发了一份资料,发现2013年,移动互联网恶意程序数量大幅增长,国家互联网应急中心通过自主监测和交换捕获的 移动互联网恶意程序样本达70....

3054

扫码关注云+社区

领取腾讯云代金券