记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞

简介: 本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
本文讲的是 记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞

记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞

安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。

IoT安全公司Senrio在gSOAP开发库(SOAP:简单对象访问协议)中发现了这个漏洞,gSOAP开发库存在缓存区堆栈溢出漏洞,攻击者可以利用漏洞远程崩溃SOAP WebServices进程,并在受影响设备上执行任意代码。gSOAP开发库是一个跨平台的C、C++工具包,专门用于开发Web服务。

漏洞演示视频

研究人员把漏洞命名为“Devil's Ivy”,他们在研究瑞士知名品牌Axis Communications旗下一款摄像头时首次发现漏洞。

当漏洞被恶意利用后,攻击者可以远程访问摄像头的视频流,并且不让摄像头主人访问。由于Axis Communications摄像头主要用于安防领域,比如银行大厅,这可能导致敏感信息泄漏,被犯罪分子利用。

Axis Communications公司确认,旗下几乎所有型号的摄像头都受此次漏洞影响(249款,大家可以点这里自行查看设备列表),官方于7月6日迅速发布固件更新来修复漏洞,并敦促合作伙伴和客户尽快升级。

不过,gSOAP开发库并不只Axis Communications一家在用,还有佳能、西门子、思科、日立等许多知名企业。也就是说,“Devil's Ivy”漏洞可能影响上述品牌生产的设备。

Axis Communications公司把漏洞详情通报给维护gSOPA的组织Genivia,Genivia在6月21日已经发布补丁。它还联系到电子行业联盟ONVIF,以确保所有使用gSOPA的成员公司都能了解到漏洞信息。

以上为The Hacker News根据Senrio公司公布漏洞报告出的报道,Senrio公司没有给出漏洞的利用难度,所以我们没法知道可能会波及多广。

幸运的是,视频监控刊物IPVM的分析师Brian Karas向全球几十家顶级安防监控企业展开调研,有两家明确表示使用了带漏洞版本的gSOAP开发库,但他同时表示,想利用这个干坏事恐怕有点难。Brian Karas列举了几点原因:

你很难用这个漏洞做出一个通用、类似Mirai的利用工具,因为它并不简单,且难以复现。

“Devil's Ivy”需要攻击者至少上传一个2GB大小的文件到某个Web接口,嵌入式系统基本不大可能接受这么大文件上传。

每个设备响应都略有不同,攻击者需要花费大量时间来研究制作通用工具。

最重要的一点是,Mirai没有补丁,而“Devil's Ivy”是可以打补丁的。

综上,厂商、用户该打补丁的还是打补丁,担惊受怕就不必了,它没想象的可怕。




原文发布时间为:2017年7月19日
本文作者:星辰
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
1月前
|
Web App开发 网络协议 安全
基于Web攻击的方式发现并攻击物联网设备介绍
基于Web攻击的方式发现并攻击物联网设备介绍
41 4
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
93 7
|
2月前
|
物联网 5G 智能硬件
物联网卡:物联网卡不支持语音通话,是如何实现设备间的数据传输和通信的?
物联网卡(IoT SIM卡)通常被设计用于支持物联网(IoT)设备之间的数据传输,而不直接支持语音通话功能。这是因为物联网设备主要关注的是数据的收集、传输和处理,而不是语音通信。为了实现设备间的数据传输和通信,物联网卡及其背后的技术采用了多种方法,主要包括但不限于以下几种方式:
物联网卡:物联网卡不支持语音通话,是如何实现设备间的数据传输和通信的?
|
2月前
|
物联网
物联网卡不能使用在什么设备上
“物联网卡不能使用在什么设备上”这一操作或规定,通常基于物联网卡的特性、使用条款以及设备兼容性等因素。以下是对这一问题的详细分析和操作建议:
|
2月前
|
存储 监控 物联网
医疗物联网设备精细化管理系统解决方案
华汇数据智慧医院物联网管理系统解决方案是一种集物联网、云计算、大数据和人工智能等先进技术于一体的综合性解决方案,旨在提升医院的运营效率、医疗质量和患者满意度。
82 3
|
2月前
|
安全 物联网
物联网卡不能更换设备使用吗
物联网卡(IoT SIM卡)是否允许更换设备使用,这主要取决于物联网服务提供商的具体政策和服务条款。通常,物联网卡是为特定设备或应用场景设计的,因此一些服务提供商会限制卡的更换使用,主要是出于安全、管理、网络优化和避免滥用等考虑
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
68 0
|
2月前
|
物联网 智能硬件
物联网卡:当物联网设备用卡使用在非物联网设备上会被管控吗
当设备物联网卡被检测到在非物联网设备上使用时,可能会遇到一系列的反应或后果,这主要取决于运营商的政策和物联网卡的设计目的。物联网卡通常是为非物联网设备(如智能家居设备、智能城市基础设施、车联网设备等)设计的,其流量套餐、网络连接速度、服务协议以及费用结构都与普通SIM卡有所不同。以下是一些可能发生的情况:
|
2月前
|
人工智能 安全 物联网
|
2月前
|
存储 安全 物联网

相关产品

  • 物联网平台