记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞

安全研究人员发现，主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞（CVE-2017-9765），可使数百万物联网设备陷入危险之中，容易受到攻击。

IoT安全公司Senrio在gSOAP开发库（SOAP：简单对象访问协议）中发现了这个漏洞，gSOAP开发库存在缓存区堆栈溢出漏洞，攻击者可以利用漏洞远程崩溃SOAP WebServices进程，并在受影响设备上执行任意代码。gSOAP开发库是一个跨平台的C、C++工具包，专门用于开发Web服务。

漏洞演示视频

研究人员把漏洞命名为“Devil's Ivy”，他们在研究瑞士知名品牌Axis Communications旗下一款摄像头时首次发现漏洞。

当漏洞被恶意利用后，攻击者可以远程访问摄像头的视频流，并且不让摄像头主人访问。由于Axis Communications摄像头主要用于安防领域，比如银行大厅，这可能导致敏感信息泄漏，被犯罪分子利用。

Axis Communications公司确认，旗下几乎所有型号的摄像头都受此次漏洞影响（249款，大家可以点这里自行查看设备列表），官方于7月6日迅速发布固件更新来修复漏洞，并敦促合作伙伴和客户尽快升级。

不过，gSOAP开发库并不只Axis Communications一家在用，还有佳能、西门子、思科、日立等许多知名企业。也就是说，“Devil's Ivy”漏洞可能影响上述品牌生产的设备。

Axis Communications公司把漏洞详情通报给维护gSOPA的组织Genivia，Genivia在6月21日已经发布补丁。它还联系到电子行业联盟ONVIF，以确保所有使用gSOPA的成员公司都能了解到漏洞信息。

以上为The Hacker News根据Senrio公司公布漏洞报告出的报道，Senrio公司没有给出漏洞的利用难度，所以我们没法知道可能会波及多广。

幸运的是，视频监控刊物IPVM的分析师Brian Karas向全球几十家顶级安防监控企业展开调研，有两家明确表示使用了带漏洞版本的gSOAP开发库，但他同时表示，想利用这个干坏事恐怕有点难。Brian Karas列举了几点原因：

你很难用这个漏洞做出一个通用、类似Mirai的利用工具，因为它并不简单，且难以复现。

“Devil's Ivy”需要攻击者至少上传一个2GB大小的文件到某个Web接口，嵌入式系统基本不大可能接受这么大文件上传。

每个设备响应都略有不同，攻击者需要花费大量时间来研究制作通用工具。

最重要的一点是，Mirai没有补丁，而“Devil's Ivy”是可以打补丁的。

综上，厂商、用户该打补丁的还是打补丁，担惊受怕就不必了，它没想象的可怕。