Milioane de dispozitive conectate la internet ar putea fi afectate de un defect de securitate

Milioane de dispozitive conectate la internet, printre care se numără și dispozitive folosite în securitatea fizică, ar putea fi afectate de un defect de securitate comun.

Deseori în jur de zece producători folosesc algoritmi de programare de la firme terțe în cazul multor produse. Asta înseamnă că un singur bug poate avea impact asupra unui număr surprinzător de dispozitive fără legătură. Sau cum au descoperit recent cercetătorii unei companii de securitate, o vulnerabilitate a unei singure camere de securitate conectată la internet poate expune un defect care expune riscului mii de diferite modele de dispozitive, scrie wired.com.

Firma de securitate Senrio, care se axează pe securitatea Internet of Things (IoT) a descoperit un defect pe care l-a numit „Devil’s Ivy”. Această vulnerabilitate aparține librăriei gSOAP care este folosită pe scară largă în dispozitivele de securitate fizică, putând permite atacatorilor să dezactiveze de la distanță sau să preia controlul a mii de modele ale diferitelor dispozitive conectate la internet, de la camere de securitate la senzori care accesează cititoare de carduri de control acces.

Compania Genivia, cea care se află în spatele gSOAP, spune că cel puțin 34 de companii folosesc algoritmii săi în produsele IoT. Genivia a emis un patch pentru a rezolva problema, dar ar putea rămâne nerezolvată în cazul multor dispozitive deoarece problema este foarte răspândită și actualizarea este foarte pestriță în cadrul Internet of Things.

H.D. Moore, cercetător în securitate al Internet of Things pentru firma de consultanță Atredis Partners a verificat descoperirea făcută de Senrio. El spune că atacul trebuie să fie configurat separat pentru ficare dispozitiv sau aplicație vulnerabile și necesită trimiterea a 2GB de date unei tinte. Dar cu toate acestea vede această vulnerabilitate ca un bug semnificativ și foarte răspândit.

Cercetarea Senrio a început luna trecută și a descoperit vulnerabilitatea în cazul unei singure camere de securitate a Axis Communications, iar atacul funcționa nu doar pentru unul dintre modelele de camere, ci și pentru oricare dintre cele 249 din oferta Axis.

Axis Communications – producător de camere de securitate de cea mai bună calitate și care pot fi găsite în multe zone de înată securitate – a actualizat recent codul sursă în aproape toate produsele sale. Astfel, Axis Communications este primul producător de camere de securitate care a rezolvat problema, scrie krebsonsecurity.com.

Robert Van Engelen, directorul executiv al Genivia a declarat că bug-ul descoperit nu exploatează dispozitivul ci doar îl închide (deci este un bug care oprește funcționarea lor și doar atât) și estimează că peste 85% dintre aplicații nu vor fi afectate de această problemă.

„Genivia susține că gSOAP are mai mult de un milion de descărcări (cel mai probabil dezvoltatori) și IBM, Microsoft, Adobe și Xerox ca clienți,” se precizează în raportul Senrio.

„Camerele care folosesc un VMS (video management system) sau un recorder pentru accesul de la distanță, în loc să fie conectate direct la internet, sunt în esență imune la atacul de la distanță (deși este posibil ca VMS-ul să aibă vulnerabilități),” a scris IPVM într-o analiză a bug-ului. IPVM este o publicație care urmărește industria de supraveghere video.