Devil’s Ivy
Devil’s Ivy

Devil’s Ivy: Zahlreiche IoT-Überwachungskameras buggy

Die Schwachstelle Devil’s Ivy erlaubt es Angreifern, sich Zugriff auf eine Sicherheitskamera von außerhalb zu verschaffen.

Sicherheitsforscher von Senrio haben eine Schwachstelle (CVE-2017-9765), genannt Devil’s Ivy, im Software Development Kit gSOAP, einer Open-Source-Komponente für Security-Hardware entdeckt. Unbefugte können sie ausnutzen, um den Video-Feed von vernetzten Kameras einzusehen, abzuschalten oder zu unterbrechen. Von Marktführer Axis sind 249 Kameramodelle betroffen, die ihren Einsatz finden in Flughäfen, Banken bis hin zum Babyphone. Zudem sind Produkte von 34 weiteren Herstellern unsicher.

Devil’s Ivy: Bugs im SDK

Der Fehler lag in der, in den Kameras verwendeten, Open-Source-Software gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services in C/C++, der einen Pufferüberlauf auslösen und damit dem Angreifer die volle Kontrolle über ein Gerät geben kann. Sie erlaubte es den Sicherheitsforschern, den Video-Feed einer Überwachungskamera auszuspähen, die Aufnahme anzuhalten oder die Kamera abzuschalten.

Die Forscher nannten die Sicherheitslücke Devil’s Ivy und ziehen damit Parallelen zu einer wissenschaftlich als Epipremnum aureum bezeichenten Pflanze: Deren Kulturformen sind zwar beliebte und weit verbreitete Zimmerpflanzen, in der Natur in ihrer Heimat Asien und Australien sind sie jedoch dafür bekannt, dass sie sich schnell ausbreiten und kaum auf Dauer entfernen lassen.

Hersteller ist Spezialist für internetfähige Überwachungskameras

Auf die Lücke aufmerksam wurden die Security-Experten von Senrio bei einer Untersuchung von Axis-Sicherheitskameras, speziell für die Security-Kamera Axis M3004, die ironischerweise in Hochsicherheitsbereichen – unter der Decke montiert – zum Einsatz kommt. Allein bei Axis sind 249 Kamera-Modelle von diesem Problem betroffen.

Angesichts der Download-Zahlen von gSOAP gehen die Forscher von Senrio jedoch von einer sehr viel weiteren Verbreitung aus und sprechen sogar davon, dass wahrscheinlich insgesamt “Millionen andere Geräte” angreifbar für die auf Devil’s Ivy getaufte Lücke sind. Nach Angaben von Genivia, das hinter der Entwicklung von gSOAP steht, wurde die Software mehr als eine Millionen Mal heruntergeladen.

Das schwedische Unternehmen Axis ist einer der wichtigsten Anbieter von internetfähigen Überwachungskameras und insbesondere auch im gewerblichen Bereich gut vertreten. Die Kameras kommen an Flughäfen, in zahlreichen Unternehmen, aber auch im öffentlichen Nahverkehr zum Einsatz. Zu den Kunden im deutschsprachigen Raum zählen Sparkassen, aber auch österreichische Justizbehörden.

Shodan offenbart alle eingesetzten Kameras

Mehrere Tausend Überwachungskameras von Axis wären offen über das Internet zugänglich. Das ergab eine Suche über die Suchmaschine Shodan durch die Forscher bei Senrio. Deshalb raten die Experten, die für Devil’s Ivy anfälligen Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Hersteller hat Lücke geschlossen

Die Lücke konnte erfolgreich geschlossen werden. Axis stellt Updates für die betroffenen Kameras bereit und hat offenbar seine Kunden über deren Verfügbarkeit unterrichtet. Auch der Hersteller von gSOAP, Genivia, hat den Devil’s-Ivy – Bug in Version 2.8.48 gefixt. Fraglich wäre jedoch noch, wie lange es dauert, bis dieses Update seinen Weg in alle betroffenen Produkte gefunden hat.

Bildquelle: geralt, thx! (CC0 Public Domain)

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.