«Дьявольская» уязвимость ставит под угрозу тысячи IoT-устройств
Исследователи компании Senrio обнаружили уязвимость в библиотеке gSOAP, ставящую под угрозу тысячи устройств «Интернета вещей» (IoT). Уязвимость CVE-2017-9765, получившая название Devil's Ivy, позволяет вызвать переполнение буфера, однако экспертам удалось с ее помощью выполнить код на уязвимой камере безопасности.
Проблема была обнаружена во время анализа прошивки камер безопасности Axis M3004. Когда исследователи уведомили о ней производителя, представители Axis сообщили, что уязвимость затрагивает 249 из 252 выпускаемых компанией моделей камер безопасности. Производитель уже выпустил обновления для своих продуктов. Разработчик библиотеки Genivia исправил уязвимость в версии gSOAP 2.8.48, вышедшей 21 июня текущего года.
По данным, указанным на сайте gSOAP, библиотека была загружена более 1 млн раз. Согласно подсчетам Senrio, Devil's Ivy затрагивает тысячи устройств.
gSOAP – библиотека с двойным лицензированием (бесплатная и коммерческая), широко используемая в разработке прошивки для встроенных устройств. Библиотека разработана компанией Genivia и позволяет производить продукты в соответствии с новейшими промышленными стандартами XML, XML Web services, WSDL и SOAP, REST, JSON, WS-Security, WS-Trust с SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF и пр.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш