IoT安全業者Senrio從Axis的監視攝影機中發現gSOAP含有一安全漏洞,可能引發遠端程式攻擊。

圖片來源: 

Senrio

定位為IoT網路安全業者的Senrio本周表示,他們發現開放源碼的網路服務工具包gSOAP含有一緩衝區溢位漏洞,可帶來遠端程式攻擊,目前只確定它被應用在瑞典業者Axis所打造的監視器中,但也可能危及其他採用gSOAP的IoT裝置。

gSOAP的全名為Simple Object Access Protocol(簡單物件存取協定),它能讓各種型態的裝置與網路通訊。一開始Senrio只是分析了Axis的M3004監視器,發現該監視器所採用的gSOAP含有一安全漏洞,將允許駭客遠端存取監視器影像,或是拒絕其他人存取影像。

此一漏洞編號為CVE-2017-9765,Senrio則將它稱作「黃金葛」(Devil’s Ivy),因為該漏洞就像黃金葛一樣,成長快速又難以殲滅。

在知會Axis之後,Axis坦承旗下的249款監視器都採用了含有漏洞的gSOAP,只有3款舊機種倖免於難,而Senrio甚至在機場發現了含有漏洞的Axis監視器。

Senrio警告,由於這些監視器肩負著安全監控的功能,也會被部署在銀行大廳,可能被駭客用來蒐集機密資料,或是避免犯罪行為遭到記錄。

至於開發與負責管理gSOAP的Genivia也在收到Senrio通知後釋出新版本以修補該漏洞。不過,根據Genivia的統計,gSOAP的下載次數已突破100萬次,且包括IBM、微軟與Adobe都名列Genivia的客戶名單中。

有鑑於gSOAP被下載後可能遭到複製並於大量的裝置上使用,因此Senrio推測也許有數千萬的軟體產品與IoT裝置受到波及。

Senrio建議企業應隔離監視裝置與公共網路,儘可能地部署防火牆或其他安全機制來保護IoT裝置的部署,以及在可能的情況下修補IoT裝置的漏洞。


Advertisement

更多 iThome相關內容