Kolejny raz dowiadujemy się, że tak zwane „inteligentne rzeczy internetu” podłączone do globalnej sieci implikują realne zagrożenie. Przez dziurawą bibliotekę open-source gSOAP, która została pobrana ponad milion razy, narażeni są nie tylko operatorzy kamer na szpiegowanie, ale też każdy internauta – wszyscy mogą oberwać atakiem DdoS lub bot-skanerem do wyszukiwania podatności w serwerach i routerach.
Producenci chyba przestali dbać o bezpieczeństwo swoich produktów. Wystarczy, że skorzystają z gotowego oprogramowania i w ich mniemaniu nie muszą się już przejmować się aspektem bezpieczeństwa. Tak niestety nie jest. Nawet jeśli twórca oprogramowania zarządzającego opracuje łatkę, a producent urządzenia IoT udostępni aktualizację, wdrożenie poprawki przecież nie nastąpi samoczynnie. Niezbędny jest czynnik ludzki – pobranie i zainstalowanie nowego firmware. A z tym różnie bywa. Zazwyczaj nie bywa.
Negatywnym bohaterem jest firma Axis Communications, która jest jednym z największych producentów kamer internetowych na świecie. Badacze z Senrio po jednym dniu analizy odkryli lukę pozwalającą przepełnić bufor. Otrzymała ona już własne oznaczenie CVE-2017-9765, co pokazuje, że aktualizacja jest dostępna.
Luka „Devil’s Ivy” daje sposobność zdalnego wykonania kodu. Została odnaleziona w bibliotece gSOAP. Osoba atakująca może uzyskać zdalny dostęp do obrazu z kamery lub może uniemożliwić dostanie się do konfiguracji operatorowi. gSOAP (Simple Object Access Protocol) jest szeroko stosowanym zestawem narzędzi internetowych. Dzięki bibliotece wszelkiej maści urządzenia IoT magą komunikować się z internetem. Stąd też na skalę potencjalnie zagrożonych urządzeń mają wielki wpływ producenci oprogramowania lub urządzenia, którzy korzystają z gSOAP. Autorzy raportu zwrócili się do firmy Genivia, która jest twórcą gSOAP. Okazuje się, że gSOAP został pobrany ponad 1 milion razy, w tym przez deweloperów IBM, Microsoft, Adobe, Xerox i ich klientów. Strona sourceforge „mówi” o 30 000 pobraniach od początku 2017 roku.
Badacze wspominają też o 249 podatnych modelach kamer firmy Axis. Skanowanie na Shodan wykazało, że dostępnych z zewnątrz jest ponad 17000 kamer zawierających lukę. Problemem nie jest sama dziura, bo przecież te zawsze się znajdują – prędzej, czy później. Kluczową kwestią jest to, ilu klientów firmy Axis pobierze i wdroży aktualizację. Chociaż producent poinformował swoich klientów o tym incydencie bezpieczeństwa, to przeczuwamy, że 95% z tych kamer będzie funkcjonowało na fabrycznym firmware aż do swojego elektronicznego końca.
Przestrzegamy użytkowników, aby aktualizowali firmware routerów, kamer, czujników, i tym podobnych urządzeń z dostępem do internetu. Niezbędne informacje zawsze znajdują sie na stronach producentów. Dzięki zaktualizowanemu oprogramowaniu poznane do tej pory ataki nie będą już stwarzać większego zagrożenia. Jest też druga strona medalu wolnych od luk urządzeń — nie będą wykorzystywane do ataków DDoS na inne cele w sieci.
