開源網路服務工具包gSOAP爆安全漏洞，恐危及大量IoT裝置

定位為IoT網路安全業者的Senrio本周表示，他們發現開放源碼的網路服務工具包gSOAP含有一緩衝區溢位漏洞，可帶來遠端程式攻擊，目前只確定它被應用在瑞典業者Axis所打造的監視器中，但也可能危及其他採用gSOAP的IoT裝置。

gSOAP的全名為Simple Object Access Protocol（簡單物件存取協定），它能讓各種型態的裝置與網路通訊。一開始Senrio只是分析了Axis的M3004監視器，發現該監視器所採用的gSOAP含有一安全漏洞，將允許駭客遠端存取監視器影像，或是拒絕其他人存取影像。

此一漏洞編號為CVE-2017-9765，Senrio則將它稱作「黃金葛」（Devil’s Ivy），因為該漏洞就像黃金葛一樣，成長快速又難以殲滅。

在知會Axis之後，Axis坦承旗下的249款監視器都採用了含有漏洞的gSOAP，只有3款舊機種倖免於難，而Senrio甚至在機場發現了含有漏洞的Axis監視器。

Senrio警告，由於這些監視器肩負著安全監控的功能，也會被部署在銀行大廳，可能被駭客用來蒐集機密資料，或是避免犯罪行為遭到記錄。

至於開發與負責管理gSOAP的Genivia也在收到Senrio通知後釋出新版本以修補該漏洞。不過，根據Genivia的統計，gSOAP的下載次數已突破100萬次，且包括IBM、微軟與Adobe都名列Genivia的客戶名單中。

有鑑於gSOAP被下載後可能遭到複製並於大量的裝置上使用，因此Senrio推測也許有數千萬的軟體產品與IoT裝置受到波及。

Senrio建議企業應隔離監視裝置與公共網路，儘可能地部署防火牆或其他安全機制來保護IoT裝置的部署，以及在可能的情況下修補IoT裝置的漏洞。