還記得前幾天 Avanti 自動(dòng)售貨機(jī)出現(xiàn)漏洞,泄露大量用戶信息的事兒嗎?這才沒過多久,另外一個(gè)針對 IoT 設(shè)備的攻擊又出現(xiàn)了,這次中招的是開發(fā) IoT 設(shè)備的開源軟件開發(fā)庫,可能影響數(shù)百萬 IoT 設(shè)備。
安全研究員發(fā)現(xiàn)大量 IoT 設(shè)備開發(fā)者所使用的開源軟件開發(fā)庫 gSOAP 中出現(xiàn)了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞,可能會(huì)影響數(shù)百萬 IoT 設(shè)備。
gSOAP 是一個(gè)雙授權(quán)庫(可免費(fèi)使用也可用于商業(yè)化目的),由 Genivia 公司開發(fā)并維護(hù),其中 SOAP 是 Simple Object Access Protocol 的首字母縮寫,意為簡單對象訪問協(xié)議。gSOAP 是廣泛應(yīng)用于嵌入式設(shè)備固件開發(fā)的 C/C++ 庫。Genivia 在其官網(wǎng)表示, gSOAP 庫可以幫助廠商“開發(fā)符合業(yè)內(nèi)最新 XML、XML WebService、WSDL、SOAP、 REST, JSON, WS-Security 等標(biāo)準(zhǔn)的產(chǎn)品。”
IoT 安全公司 Senrio 的研究員最先在 gSOAP 中發(fā)現(xiàn)這個(gè)漏洞(編號 CVE-2017-9765 ),并將其命名為 “Devil’s Ivy”(綠蘿)。“綠蘿” 是一個(gè)堆棧緩沖區(qū)溢出漏洞,可允許黑客遠(yuǎn)程攻擊(DOS 攻擊) SOAP Web 服務(wù)后臺程序,并在存在漏洞的設(shè)備上執(zhí)行任意代碼。
Senrio 表示,之所以將這個(gè)漏洞命名為“綠蘿”,是因?yàn)檫@個(gè)漏洞就像綠蘿一樣,很難殺死,而且通過代碼重用可以很快地蔓延。這個(gè)漏洞存在于下載量達(dá)上百萬的第三方工具包中,可以影響數(shù)百萬 IoT 設(shè)備,且很難清除。
主要攻擊 Axis 安全攝像頭
研究人員是在分析 Axis M3004安全攝像頭產(chǎn)品時(shí),首次發(fā)現(xiàn)了 “綠蘿” 漏洞。“綠蘿” 攻擊過 Axis Communications (安訊士網(wǎng)絡(luò)通訊公司)開發(fā)的安全聯(lián)網(wǎng)攝像頭,下面的視頻就演示了整個(gè)攻擊過程。
利用“綠蘿”時(shí),攻擊者可以遠(yuǎn)程訪問一段視頻資料,或阻止原用戶訪問該視頻資料。
本來這個(gè)攝像頭主要用于安保,例如用于銀行大廳監(jiān)控等。如果被攻擊,會(huì)導(dǎo)致敏感信息泄露,或?qū)е卤O(jiān)控者無法及時(shí)發(fā)現(xiàn)或記錄犯罪行為,造成犯罪證據(jù)丟失。
研究人員利用逆向工具 IDA Pro ,檢測到了“綠蘿”的部分攻擊詳情:
漏洞影響與修復(fù)
Axis 公司承認(rèn)其 252 款攝像頭產(chǎn)品中有 249 款都受到“綠蘿”漏洞影響,并在 6 月 6 日發(fā)布了升級固件用于修復(fù)漏洞。相關(guān)用戶應(yīng)當(dāng)立即進(jìn)行升級更新。
以下是完整攝像頭型號清單,用戶可以對照清單,確認(rèn)自己的攝像頭型號并采取相應(yīng)修復(fù)措施。
漏洞爆發(fā)后, Axis 立刻向負(fù)責(zé)維護(hù) gSOAP 的 Genivia 公司上報(bào)了這個(gè)漏洞,Genivia 隨后在 6 月 21 日發(fā)放了補(bǔ)丁,并聯(lián)系了 ONVIF ,將漏洞通告所有使用 gSOAP 的 ONVIF 會(huì)員(包括佳能、思科、西門子等),督促這些廠商盡快修復(fù)漏洞。ONVIF 全稱為開放網(wǎng)絡(luò)視頻接口論壇,是一個(gè)國際非營利組織,由一群硬件廠商自發(fā)組成,經(jīng)常發(fā)布 IT 技術(shù)及解決方案等。
盡管 Axis 在產(chǎn)品中修復(fù)了 “綠蘿” 漏洞,但研究人員仍然憂心忡忡,他們認(rèn)為這個(gè)漏洞還可能影響其他 IoT 設(shè)備,因?yàn)榧涯堋⑽鏖T子、思科、日立等很多大型廠商都使用 gSOAP 這個(gè)開發(fā)庫。而且,gSOAP 擁有龐大的 IoT 開發(fā)者用戶群體。Genivia 曾在官網(wǎng)宣稱,gSOAP 的下載量超過了 100 萬次。
發(fā)現(xiàn)漏洞的 Senrio 公司分析了自己所掌握的信息,發(fā)現(xiàn)約有 6% 的 NOVIF 會(huì)員使用 gSOAP 開發(fā)產(chǎn)品,Senrio 據(jù)此推斷,可能有數(shù)百萬設(shè)備會(huì)受到“綠蘿”的影響。
應(yīng)對關(guān)于 IoT 的攻擊
也許在生活中,我們所熟悉的聯(lián)網(wǎng)設(shè)備就是個(gè)人計(jì)算機(jī)和手機(jī),但事實(shí)上,大到路口的紅綠燈,小到手腕上的可穿戴設(shè)備,都屬于 IoT 設(shè)備。IoT設(shè)備充斥著我們生活的方方面面,其安全問題不容忽視。
近些年來,IoT 設(shè)備漏洞頻發(fā),可謂是網(wǎng)絡(luò)安全中最脆弱的一環(huán)。黑客往往利用 IoT 設(shè)備的漏洞,入侵安全網(wǎng)絡(luò),進(jìn)行更嚴(yán)重的破壞。檢測出“綠蘿”之后,Senrio 公司也針對 IoT 安全提出了一些建議:
1. 安全硬件設(shè)施不要連接公共網(wǎng)絡(luò):7 月 1 日,一名蘇丹研究員表示,超過 14700 臺 Axis 球形監(jiān)控?cái)z像頭出現(xiàn)漏洞,任何人都可訪問監(jiān)控視頻。事實(shí)上,所有存在“綠蘿”漏洞的攝像頭都很容易被利用。安全攝像頭這類設(shè)備都應(yīng)該連接到個(gè)人網(wǎng)絡(luò),這樣才能降低被入侵的可能。
2. 盡可能地做好一切 IoT 安全防護(hù)措施:為 IoT 設(shè)備設(shè)置防火墻或使用 NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù),可以減少 IoT 設(shè)備的曝光程度,并提升威脅檢測指數(shù)。
3. 及時(shí)更新并打補(bǔ)丁:漏洞在所難免。出現(xiàn)漏后,用戶能做的就是在補(bǔ)丁發(fā)布的第一時(shí)間下載更新,及時(shí)修復(fù)。
對于廠商而言,加入像 ONVIF 這樣的團(tuán)體可能大有益處。在這類團(tuán)體中,不僅能實(shí)現(xiàn)快速應(yīng)急響應(yīng)和聯(lián)動(dòng),及時(shí)有效止損,還能實(shí)現(xiàn)更多技術(shù)交流和威脅情報(bào)互換,盡可能地減少安全風(fēng)險(xiǎn)。
| 
