Nawet milion urządzeń IoT z niezałataną luką. I co z tego? Chyba nic…

20 lipca, 2017

Kolejny raz dowiadujemy się, że tak zwane „inteligentne rzeczy internetu” podłączone do globalnej sieci implikują realne zagrożenie. Przez dziurawą bibliotekę open-source gSOAP, która została pobrana ponad milion razy, narażeni są nie tylko operatorzy kamer na szpiegowanie, ale też każdy internauta – wszyscy mogą oberwać atakiem DdoS lub bot-skanerem do wyszukiwania podatności w serwerach i routerach.

Producenci chyba przestali dbać o bezpieczeństwo swoich produktów. Wystarczy, że skorzystają z gotowego oprogramowania i w ich mniemaniu nie muszą się już przejmować się aspektem bezpieczeństwa. Tak niestety nie jest. Nawet jeśli twórca oprogramowania zarządzającego opracuje łatkę, a producent urządzenia IoT udostępni aktualizację, wdrożenie poprawki przecież nie nastąpi samoczynnie. Niezbędny jest czynnik ludzki – pobranie i zainstalowanie nowego firmware. A z tym różnie bywa. Zazwyczaj nie bywa.

Negatywnym bohaterem jest firma Axis Communications, która jest jednym z największych producentów kamer internetowych na świecie. Badacze z Senrio po jednym dniu analizy odkryli lukę pozwalającą przepełnić bufor. Otrzymała ona już własne oznaczenie CVE-2017-9765, co pokazuje, że aktualizacja jest dostępna.

Luka „Devil’s Ivy” daje sposobność zdalnego wykonania kodu. Została odnaleziona w bibliotece gSOAP. Osoba atakująca może uzyskać zdalny dostęp do obrazu z kamery lub może uniemożliwić dostanie się do konfiguracji operatorowi. gSOAP (Simple Object Access Protocol) jest szeroko stosowanym zestawem narzędzi internetowych. Dzięki bibliotece wszelkiej maści urządzenia IoT magą komunikować się z internetem. Stąd też na skalę potencjalnie zagrożonych urządzeń mają wielki wpływ producenci oprogramowania lub urządzenia, którzy korzystają z gSOAP. Autorzy raportu zwrócili się do firmy Genivia, która jest twórcą gSOAP. Okazuje się, że gSOAP został pobrany ponad 1 milion razy, w tym przez deweloperów IBM, Microsoft, Adobe, Xerox i ich klientów. Strona sourceforge „mówi” o 30 000 pobraniach od początku 2017 roku.

Badacze wspominają też o 249 podatnych modelach kamer firmy Axis. Skanowanie na Shodan wykazało, że dostępnych z zewnątrz jest ponad 17000 kamer zawierających lukę. Problemem nie jest sama dziura, bo przecież te zawsze się znajdują – prędzej, czy później. Kluczową kwestią jest to, ilu klientów firmy Axis pobierze i wdroży aktualizację. Chociaż producent poinformował swoich klientów o tym incydencie bezpieczeństwa, to przeczuwamy, że 95% z tych kamer będzie funkcjonowało na fabrycznym firmware aż do swojego elektronicznego końca.

Przestrzegamy użytkowników, aby aktualizowali firmware routerów, kamer, czujników, i tym podobnych urządzeń z dostępem do internetu. Niezbędne informacje zawsze znajdują sie na stronach producentów. Dzięki zaktualizowanemu oprogramowaniu poznane do tej pory ataki nie będą już stwarzać większego zagrożenia. Jest też druga strona medalu wolnych od luk urządzeń — nie będą wykorzystywane do ataków DDoS na inne cele w sieci.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]