广告

监控摄像头开源软件爆漏洞,百万设备面临被黑风险

时间:2017-07-20 作者:网络整理 阅读:
还记得前几天 Avanti 自动售货机出现漏洞,泄露大量用户信息的事儿吗?这才没过多久,另外一个针对 IoT 设备的攻击又出现了,这次中招的是开发 IoT 设备的开源软件开发库,可能影响数百万 IoT 设备。
广告

北京时间7月20日凌晨,重点关注物联网的安全公司Senrio的研究人员称,全球范围内以百万计算的联网设备可能会因一个普遍存在的漏洞而面临被黑的风险。

Senrio研究人员发现,使用一个名为“gSOAP”的开源代码的监控摄像头很容易被黑,并指出黑客可远程发送命令操控安装了这种摄像头的设备。研究人员在测试中利用这个漏洞接管了一个视频流,并进行了暂停视频录制和关闭摄像头的操作。Senrio表示,该公司有能力完全控制被黑的摄像头。
20170720-gSOAP-1
gSOAP 是一个双授权库(可免费使用也可用于商业化目的),由 Genivia 公司开发并维护,其中 SOAP 是 Simple Object Access Protocol 的首字母缩写,意为简单对象访问协议。gSOAP 是广泛应用于嵌入式设备固件开发的 C/C++ 库。Genivia 在其官网表示, gSOAP 库可以帮助厂商“开发符合业内最新 XML、XML WebService、WSDL、SOAP、 REST, JSON, WS-Security 等标准的产品。”

Senrio 的研究人员最先在 gSOAP 中发现这个漏洞(编号 CVE-2017-9765 ),并将这个零日漏洞命名为“Devil‘s Ivy”(魔鬼绿萝),原因是跟这种植物一样,该漏洞是很难被“杀死”的,而且正在迅速蔓延开来。“绿萝” 是一个堆栈缓冲区溢出漏洞,可允许黑客远程攻击(DOS 攻击) SOAP Web 服务后台程序,并在存在漏洞的设备上执行任意代码。

主要攻击 Axis 安全摄像头

Senrio周二称,该公司是在对Axis M3004安全摄像头进行研究时发现了这个漏洞的。“绿萝” 攻击过 Axis Communications (安讯士网络通讯公司)开发的安全联网摄像头,下面是整个攻击过程视频。


利用“绿萝”时,攻击者可以远程访问一段视频资料,或阻止原用户访问该视频资料。

本来这个摄像头主要用于安保,例如用于银行大厅监控等。如果被攻击,会导致敏感信息泄露,或导致监控者无法及时发现或记录犯罪行为,造成犯罪证据丢失。

研究人员利用逆向工具 IDA Pro ,检测到了“绿萝”的部分攻击详情:
20170720-gSOAP-2
漏洞影响与修复

Axis是最大的互联摄像头生产商之一,在全球范围内提供监控产品,其中包括为洛杉矶机场提供所有监控摄像头等。

物联网设备可为其所有者提供便利,原因是其在线联网功能可为旧有设备带来新的用户,但这种设备存在着安全问题。美国联邦调查局(FBI)在周二发出了有关联网玩具的警告,称其担心这些玩具可能被黑。

Senrio称,研究人员发现249种型号的Axis摄像头存在这个漏洞,Axis 公司也承认,并在 6 月 6 日发布了升级固件用于修复漏洞。相关用户应当立即进行升级更新。另外还有其他34家公司也都受到了影响,发现漏洞的 Senrio 公司分析了自己所掌握的信息,发现约有 6% 的 NOVIF 会员使用 gSOAP 开发产品,Senrio 据此推断,可能有数百万设备会受到“绿萝”的影响。
20170720-gSOAP-5
漏洞爆发后, Axis 立刻向负责维护 gSOAP 的 Genivia 公司上报了这个漏洞,Genivia 随后在 6 月 21 日发放了补丁),并联系了 ONVIF ,将漏洞通告所有使用 gSOAP 的 ONVIF 会员(包括佳能、思科、西门子等),督促这些厂商尽快修复漏洞。ONVIF 全称为开放网络视频接口论坛,是一个国际非营利组织,由一群硬件厂商自发组成,经常发布 IT 技术及解决方案等。

尽管 Axis 在产品中修复了 “绿萝” 漏洞,但研究人员仍然忧心忡忡,他们认为这个漏洞还可能影响其他 IoT 设备,因为佳能、西门子、思科、日立等很多大型厂商都使用 gSOAP 这个开发库。而且,gSOAP 拥有庞大的 IoT 开发者用户群体。Genivia 曾在官网宣称,gSOAP 的下载量超过了 100 万次。

以下是完整摄像头型号清单,用户可以对照清单,确认自己的摄像头型号并采取相应修复措施。
20170720-gSOAP-3
20170720-gSOAP-4
本文综合自新浪科技、FreeBuf报道

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。

 

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 探讨最新处理器技术, 共话MCU生态 2021年8月26日,由ASPENCORE举办的一场“全球MCU生态发展大会”汇聚了微控制器领域的技术和应用专家,共同探讨最新处理器技术、边缘AI、新兴应用和生态发展等热门议题。此次大会的主题为“把握'芯'基建,共绘MCU生态”。
  • NVIDIA完成收购DeepMap,或进军自动驾驶 ​​​​​​​自动驾驶已经到了半成熟半应用阶段,往往这个时候,各大巨头都会开始加码投入。最近,NVIDIA就宣布完成了对DeepMap的收购,此举或将加大其进军自动驾驶领域的技术储备。
  • 微型螳螂虾机器人即将面世 ​​​​​​​机器人已经成为未来最受关注的十大科技领域之一,无论是工业机器人还是人形机器人,也不论是中大型机械臂机器人还是小型微型机器人,现在各企业各研究机构均根据自身资源进行重点研发投入。最近,有美国科学研究人员模仿螳螂虾的弹簧铁拳机制正在研发微型螳螂虾机器人,这款微型机器人或许不久将面世。
  • 国产7nm芯片试产,14nm“香山”芯片已完成设计 芯片,其实一直以来就是全球科技产业的核心,只是最近由于贸易与科技的竞争与纷争,导致芯片研发与生产代工成为一个尤为重要的问题,特别是美国对中国的科技芯片压制以来,中国14nm以下的先进制程芯片备受关注。不过,最近有消息显示:中国国产7nm芯片已经试产,14nm“香山”芯片已经完成了设计。
  • 下一代iPad或可以触觉反应,将是电子产品的一大革命 苹果的产品一向以接近人的真实体验而深受消费者喜爱,最近一项专利显示,下一代苹果iPad或可以触觉反馈,即按压屏幕可以得到反应,从而实现一个类似触摸有生命力的生物的感觉,如果这项专利能够实现并应用,将是电子产品的一大进步或者革命。
  • 丰田将推Arene汽车车机操作系统 ​​​​​​​操作系统已经成为世界各大巨头的一个新的竞争赛道,谁能咋某一个领域推行操作系统,谁就可能占据这个领域的市场基础。最近,有报道称丰田将在自己熟悉的汽车领域推出自己的汽车上的车机操作系统:Arene,时间或在五年内。
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。

  • ​快人一步,一触即发|芯海科技信号 视频来源:iQOO手机官方微博8月17日晚,iQOO8系列未来电竞旗舰重磅发布,通过屏下双控压感实现更多样的操控体验,双指变四指手速度倍增,在保持机身简洁的同时助你成为自带BUFF的竞技
  • 泰艺电子推出小型化恒温控制晶体振 泰艺电子,频率控制解决方案的领先供货商,推出全新 NN 系列恒温控制晶体振荡器(OCXO),能够满足严格的频率稳定度要求,同时具备优越的相位噪声性能。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了