記一枚可能被誇大的「數百萬物聯網設備遠程劫持」漏洞

安全研究人員發現，主流互聯網設備製造商使用的開源組件開發庫存在一個嚴重級別的遠程命令執行漏洞（CVE-2017-9765），可使數百萬物聯網設備陷入危險之中，容易受到攻擊。

IoT安全公司Senrio在gSOAP開發庫（SOAP：簡單對象訪問協議）中發現了這個漏洞，gSOAP開發庫存在緩存區堆棧溢出漏洞，攻擊者可以利用漏洞遠程崩潰SOAP WebServices進程，並在受影響設備上執行任意代碼。gSOAP開發庫是一個跨平台的C、C++工具包，專門用於開發Web服務。

漏洞演示視頻

0719-linux安全_騰訊視頻 https://v.qq.com/x/page/w0527suxp5d.html

研究人員把漏洞命名為「Devils Ivy」，他們在研究瑞士知名品牌Axis Communications旗下一款攝像頭時首次發現漏洞。

當漏洞被惡意利用後，攻擊者可以遠程訪問攝像頭的視頻流，並且不讓攝像頭主人訪問。由於Axis Communications攝像頭主要用於安防領域，比如銀行大廳，這可能導致敏感信息泄漏，被犯罪分子利用。

Axis Communications公司確認，旗下幾乎所有型號的攝像頭都受此次漏洞影響（249款，大家可以點這裡自行查看設備列表），官方於7月6日迅速發布固件更新來修復漏洞，並敦促合作夥伴和客戶儘快升級。

不過，gSOAP開發庫並不只Axis Communications一家在用，還有佳能、西門子、思科、日立等許多知名企業。也就是說，「Devils Ivy」漏洞可能影響上述品牌生產的設備。

Axis Communications公司把漏洞詳情通報給維護gSOPA的組織Genivia，Genivia在6月21日已經發布補丁。它還聯繫到電子行業聯盟ONVIF，以確保所有使用gSOPA的成員公司都能了解到漏洞信息。

以上為The Hacker News根據Senrio公司公布漏洞報告出的報道，Senrio公司沒有給出漏洞的利用難度，所以我們沒法知道可能會波及多廣。

幸運的是，視頻監控刊物IPVM的分析師Brian Karas向全球幾十家頂級安防監控企業展開調研，有兩家明確表示使用了帶漏洞版本的gSOAP開發庫，但他同時表示，想利用這個幹壞事恐怕有點難。Brian Karas列舉了幾點原因：

你很難用這個漏洞做出一個通用、類似Mirai的利用工具，因為它並不簡單，且難以復現。

「Devils Ivy」需要攻擊者至少上傳一個2GB大小的文件到某個Web介面，嵌入式系統基本不大可能接受這麼大文件上傳。

每個設備響應都略有不同，攻擊者需要花費大量時間來研究製作通用工具。

最重要的一點是，Mirai沒有補丁，而「Devils Ivy」是可以打補丁的。

綜上，廠商、用戶該打補丁的還是打補丁，擔驚受怕就不必了，它沒想像的可怕。

本文翻譯自Remotely Exploitable Flaw Puts Millions of Internet-Connected Devices at Risk，如若轉載，請註明原文地址： 記一枚可能被誇大的「數百萬物聯網設備遠程劫持」漏洞 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：