监控摄像头开源软件爆漏洞，百万设备面临被黑风险

北京时间7月20日凌晨，重点关注物联网的安全公司Senrio的研究人员称，全球范围内以百万计算的联网设备可能会因一个普遍存在的漏洞而面临被黑的风险。

Senrio研究人员发现，使用一个名为“gSOAP”的开源代码的监控摄像头很容易被黑，并指出黑客可远程发送命令操控安装了这种摄像头的设备。研究人员在测试中利用这个漏洞接管了一个视频流，并进行了暂停视频录制和关闭摄像头的操作。Senrio表示，该公司有能力完全控制被黑的摄像头。

gSOAP 是一个双授权库（可免费使用也可用于商业化目的），由 Genivia 公司开发并维护，其中 SOAP 是 Simple Object Access Protocol 的首字母缩写，意为简单对象访问协议。gSOAP 是广泛应用于嵌入式设备固件开发的 C/C++ 库。Genivia 在其官网表示， gSOAP 库可以帮助厂商“开发符合业内最新 XML、XML WebService、WSDL、SOAP、 REST, JSON, WS-Security 等标准的产品。”

Senrio 的研究人员最先在 gSOAP 中发现这个漏洞（编号 CVE-2017-9765 ），并将这个零日漏洞命名为“Devil‘s Ivy”（魔鬼绿萝），原因是跟这种植物一样，该漏洞是很难被“杀死”的，而且正在迅速蔓延开来。“绿萝” 是一个堆栈缓冲区溢出漏洞，可允许黑客远程攻击（DOS 攻击） SOAP Web 服务后台程序，并在存在漏洞的设备上执行任意代码。

主要攻击 Axis 安全摄像头

Senrio周二称，该公司是在对Axis M3004安全摄像头进行研究时发现了这个漏洞的。“绿萝” 攻击过 Axis Communications （安讯士网络通讯公司）开发的安全联网摄像头，下面是整个攻击过程视频。

利用“绿萝”时，攻击者可以远程访问一段视频资料，或阻止原用户访问该视频资料。

本来这个摄像头主要用于安保，例如用于银行大厅监控等。如果被攻击，会导致敏感信息泄露，或导致监控者无法及时发现或记录犯罪行为，造成犯罪证据丢失。

研究人员利用逆向工具 IDA Pro ，检测到了“绿萝”的部分攻击详情：

漏洞影响与修复

Axis是最大的互联摄像头生产商之一，在全球范围内提供监控产品，其中包括为洛杉矶机场提供所有监控摄像头等。

物联网设备可为其所有者提供便利，原因是其在线联网功能可为旧有设备带来新的用户，但这种设备存在着安全问题。美国联邦调查局（FBI）在周二发出了有关联网玩具的警告，称其担心这些玩具可能被黑。

Senrio称，研究人员发现249种型号的Axis摄像头存在这个漏洞，Axis 公司也承认，并在 6 月 6 日发布了升级固件用于修复漏洞。相关用户应当立即进行升级更新。另外还有其他34家公司也都受到了影响，发现漏洞的 Senrio 公司分析了自己所掌握的信息，发现约有 6% 的 NOVIF 会员使用 gSOAP 开发产品，Senrio 据此推断，可能有数百万设备会受到“绿萝”的影响。

漏洞爆发后， Axis 立刻向负责维护 gSOAP 的 Genivia 公司上报了这个漏洞，Genivia 随后在 6 月 21 日发放了补丁)，并联系了 ONVIF ，将漏洞通告所有使用 gSOAP 的 ONVIF 会员（包括佳能、思科、西门子等），督促这些厂商尽快修复漏洞。ONVIF 全称为开放网络视频接口论坛，是一个国际非营利组织，由一群硬件厂商自发组成，经常发布 IT 技术及解决方案等。

尽管 Axis 在产品中修复了 “绿萝” 漏洞，但研究人员仍然忧心忡忡，他们认为这个漏洞还可能影响其他 IoT 设备，因为佳能、西门子、思科、日立等很多大型厂商都使用 gSOAP 这个开发库。而且，gSOAP 拥有庞大的 IoT 开发者用户群体。Genivia 曾在官网宣称，gSOAP 的下载量超过了 100 万次。

以下是完整摄像头型号清单，用户可以对照清单，确认自己的摄像头型号并采取相应修复措施。


本文综合自新浪科技、FreeBuf报道

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。