Devil’s Ivy: Zahlreiche IoT-Überwachungskameras von Sicherheitslücke betroffen

 

Sicherheitsforscher von Senrio haben eine Schwachstelle (CVE-2017-9765), genannt Devil’s Ivy, im Software Development Kit gSOAP, einer Open-Source-Komponente für Security-Hardware entdeckt. Unbefugte können sie ausnutzen, um den Video-Feed von vernetzten Kameras einzusehen, abzuschalten oder zu unterbrechen. Von Marktführer Axis sind 249 Kameramodelle betroffen, die ihren Einsatz finden in Flughäfen, Banken bis hin zum Babyphone. Zudem sind Produkte von 34 weiteren Herstellern unsicher.

Der Fehler lag in der, in den Kameras verwendeten, Open-Source-Software gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services in C/C++, der einen Pufferüberlauf auslösen und damit dem Angreifer die volle Kontrolle über ein Gerät geben kann. Sie erlaubte es den Sicherheitsforschern, den Video-Feed einer Überwachungskamera auszuspähen, die Aufnahme anzuhalten oder die Kamera abzuschalten.


Die Forscher nannten die Sicherheitslücke Devil’s Ivy und ziehen damit Parallelen zu einer wissenschaftlich als Epipremnum aureum bezeichenten Pflanze: Deren Kulturformen sind zwar beliebte und weit verbreitete Zimmerpflanzen, in der Natur in ihrer Heimat Asien und Australien sind sie jedoch dafür bekannt, dass sie sich schnell ausbreiten und kaum auf Dauer entfernen lassen.

Auf die Lücke aufmerksam wurden die Security-Experten von Senrio bei einer Untersuchung von Axis-Sicherheitskameras, speziell für die Security-Kamera Axis M3004, die ironischerweise in Hochsicherheitsbereichen – unter der Decke montiert – zum Einsatz kommt. Allein bei Axis sind 249 Kamera-Modelle von diesem Problem betroffen. Angesichts der Download-Zahlen von gSOAP gehen die Forscher von Senrio jedoch von einer sehr viel weiteren Verbreitung aus und sprechen sogar davon, dass wahrscheinlich insgesamt “Millionen andere Geräte” angreifbar für die auf Devil’s Ivy getaufte Lücke sind. Nach Angaben von Genivia, das hinter der Entwicklung von gSOAP steht, wurde die Software mehr als eine Millionen Mal heruntergeladen.

Das schwedische Unternehmen Axis ist einer der wichtigsten Anbieter von internetfähigen Überwachungskameras und insbesondere auch im gewerblichen Bereich gut vertreten. Die Kameras kommen an Flughäfen, in zahlreichen Unternehmen, aber auch im öffentlichen Nahverkehr zum Einsatz. Zu den Kunden im deutschsprachigen Raum zählen Sparkassen, aber auch österreichische Justizbehörden.

Mehrere Tausend Überwachungskameras von Axis wären offen über das Internet zugänglich. Das ergab eine Suche über Shodan durch die Forscher bei Senrio. Deshalb raten die Experten, die Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Die Lücke konnte erfolgreich geschlossen werden. Axis stellt Updates für die betroffenen Kameras bereit und hat offenbar seine Kunden über deren Verfügbarkeit unterrichtet. Auch der Hersteller von gSOAP, Genivia, hat den Devil’s-Ivy – Bug in Version 2.8.48 gefixt. Fraglich wäre jedoch noch, wie lange es dauert, bis dieses Update seinen Weg in alle betroffenen Produkte gefunden hat.

Bildquelle: geralt, thx! (CC0 Public Domain)

Vielleicht gefällt dir auch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.