Haavoittuvuus laajasti IoT-laitteissa käytetyssä gSOAP-kirjastossa

Haavoittuva kirjasto on käytössä laajasti IoT-laitteissa ja verkkokamerasovelluksissa

gSOAP on yleisesti IoT-laitteissa käytetty ohjelmistokirjasto komentorajapintojen toteukseen. Kirjastosta on löytynyt puskurinylivuotohaavoittuvuus, joka voi mahdollistaa mielivaltaisen koodin suorittamisen ohjelmistokirjastoa käyttävässä laitteessa.

Haavoittuvuus gSOAP-kirjastossa löydettiin tutkimalla ruotsalaisen valvontakameravalmistaja Axiksen kameramallia M3004. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on Axiksen tietyissä malleissa mahdollista katsella etänä kameran kuvaa ja estää omistajan pääsy laitteeseen. Haavoittuvuuden hyödyntäminen edellyttää verkkoyhteyttä haavoittuvaan järjestelmään. Yhteensä 249 eri Axiksen kameramallia ovat haavoittuvia. Haavoittuvuuden korjaava ohjelmistopäivitys on saatavilla valmistajan kotisivuilta.

Haavoittuvuuden sisältämä kirjasto on kuitenkin käytössä laajasti myös muiden valmistajien kameroissa ja muissa IoT-laitteissa. Haavoittuvuuden hyödynnettävyydestä muissa laitteissa ei ole varmuutta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Sulautetut järjestelmät
  • Muut
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Kaikki gSOAP-kirjaston versiot ennen versiota 2.8.48 upd

Ratkaisu- ja rajoitusmahdollisuudet:

  • Korjaava ohjelmistopäivitys
  • Verkon segmentointi, IoT-laitteiden eristäminen internetistä

Lisätietoa:

http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions

http://blog.senr.io/devilsivy.html

CVE-2017-9765

https://www.axis.com/files/faq/ACV116267_(CVE-2017-9765).pdf

https://www.genivia.com/changelog.html#Version_2.8.48_upd_(06/21/2017)


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248