当前位置: 首页>>美国发布 >>开源漏洞“魔鬼常春藤”使数百万物联网设备面临风险

开源漏洞“魔鬼常春藤”使数百万物联网设备面临风险

添加时间:    

Senrio在本周报道,由于最初在远程安全摄像机中发现的漏洞,数百万物联网设备容易受到网络安全攻击。

该公司发现了安全摄像头的缺陷,该安全摄像头由全球最大的设备制造商之一Axis Communications开发。 Senrio表示,3004型安全摄像机在洛杉矶国际机场和其他地方用于安全。

问题原来是一个堆栈缓冲区溢出漏洞,被公司称为“魔鬼常春藤”。

Axis通知安全公司,有249种不同型号的相机受到此漏洞的影响。它发现只有三个模型没有受到影响。

根据Senrio的说法,问题在于gSOAP的通信层,这是一个开源的第三方工具包,被各种设备制造商用于物联网技术。根据Senrio的数据,

gSOAP经理Genivia报告说,该工具包已被下载超过100万次。大部分下载可能涉及开发人员。包括IBM,微软,Adobe和Xerox在内的主要公司都是该公司的客户。

根据首席执行官罗伯特·凡·恩格伦(Robert van Engelen)的说法,Genivia在发现漏洞24小时内发布了针对gSOAP的新补丁,并表示通知客户这个问题。

他告诉LinuxInsider,这个晦涩的漏洞是由一个预期的整数下溢引起的,接着是第二个意外的整数下溢,从而触发了该错误。

van Engelen解释说:“当至少2 GB的XML数据上传到Web服务器时,触发器才会发生。 “这个bug并没有被专有的静态分析工具或者自2002年以来查看源代码的源代码用户发现。

某些ONVIF设备充当Web服务器,当配置为接受2 GB以上的XML数据时, ,他指出

Kudelski Security研究主任Ryan Spanier指出,许多大型制造商使用同一个来源,ONVIF论坛,为他们的网络协议库。

因为它是一个共享库,他告诉LinuxInsider,他告诉LinuxInsider:

“公司经常将硬件和软件集成到他们自己写的设备中,”Spanier说,“在某些方面,这与Mirai僵尸网络类似,但是在这种情况下,针对多个相机制造商使用的芯片中存在不安全的后门。“

去年发生的Mirai僵尸网络是最大的一个有记录,针对KrebsOnSecurity博客与大规模的DDoS攻击测量每秒620千兆字节。

IOActive的工业网络安全服务总监Bryan Singer表示,像魔鬼常春藤这样的事件是不可避免的。他向LinuxInsider表示:“在真正的技术推动下,推向市场功能的努力将远远超出坚实可靠的设计,这是非常常见的。 “不幸的是,这个头脑麻烦的时刻太常见了。”

为了安全起见,供应商需要对组件进行适当的审计,趋势科技零日行动的沟通经理Dustin Childs告诉LinuxInsider,“被误解或执行不力的开源软件使得攻击者可以绕过安全机制。

David Jones 是一位自由撰稿人,总部设在新泽西州埃塞克斯县。他曾为路透社,彭博社, Crain的纽约商业纽约时报

随机推荐