Уязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройства
Исследователи из компании Senrio, специализирующиеся на безопасности для интернета вещей (IoT), обнаружили проблему переполнения буфера в купольной камере Axis M3004. Как выяснилось позже, ей оказались подвержены многочисленные устройства со всего мира.
Уязвимость в безопасности, получившая название «Devil’s Ivy» и номер CVE-2017-9765, проявляет себя при попытке обработать большой XML-файл (более 2 Гб) веб-серверами некоторых устройств (вопреки популярной политике отказа от таких запросов, принятой во многих веб-серверах по умолчанию). Проблема приводит к тому, что сформированное специальным образом содержимое большого файла позволяет злоумышленникам исполнять удалённо (т.е. на устройстве, подверженном уязвимости) произвольный код или вызывать отказ в его обслуживании (denial of service). Источником уязвимости оказалась Open Source-библиотека gSOAP для работы с SOAP/XML в веб-сервисах. Её код поддерживает компания Genivia.
По данным Senrio, на 1 июля в интернете было обнаружено 14 тысяч уязвимых камер Axis Communications, которые популярных в разных областях (здравоохранение, транспорт, государственные службы, розничная продажа, банки). Производитель уязвимых камер выпустил обновления прошивки для проблемных моделей ещё 10 июля, однако, судя по всему, она затрагивает и другие устройства. По данным Genivia, стоящей за библиотекой gSOAP, библиотеку только из её источников скачали более миллиона раз, а ещё она задействована в популярных дистрибутивах GNU/Linux: соответствующий баг появился у
Комментарий от Senrio: «Мы назвали уязвимость Дьявольский плющ (Devil’s Ivy), потому что её, как и это растение, практически невозможно истребить, и она быстро распространяется из-за повторного использования кода [применения одной Open Source-библиотеки в разных приложениях и устройствах — прим. перев.]. Её источник находится в стороннем наборе инструментов, который скачали миллионы раз, что означает, оно попало на тысячи устройств, и полностью его истребить будет сложно».
Дмитрий Шурупов по материалам zdnet.com.