開源網路服務工具包gSOAP爆安全漏洞,恐危及大量IoT裝置

開源網路服務工具包gSOAP爆安全漏洞,恐危及大量IoT裝置 資安業者Senrio指網路服務工具包gSOAP存在一緩衝區溢位漏洞,可能引發駭客遠端存取IoT裝置上的資訊,例如連網監視攝影機的影像資料,開發與負責管理gSOAP的Genivia已在接到通知後修補該漏洞。 文/陳曉莉 | 2017-07-20發表 IoT安全業者Senrio從Axis的監視攝影機中發現gSOAP含有一安全漏洞,可能引發遠端程式攻擊。 圖片來源: Senrio 定位為IoT網路安全業者的Senrio本周表示,他們發現開放源碼的網路服務工具包gSOAP含有一緩衝區溢位漏洞,可帶來遠端程式攻擊,目前只確定它被應用在瑞典業者Axis所打造的監視器中,但也可能危及其他採用gSOAP的IoT裝置。gSOAP的全名為Simple Object Access Protocol(簡單物件存取協定),它能讓各種型態的裝置與網路通訊。一開始Senrio只是分析了Axis的M3004監視器,發現該監視器所採用的gSOAP含有一安全漏洞,將允許駭客遠端存取監視器影像,或是拒絕其他人存取影像。此一漏洞編號為CVE-2017-9765,Senrio則將它稱作「黃金葛」(Devil’s Ivy),因為該漏洞就像黃金葛一樣,成長快速又難以殲滅。在知會Axis之後,Axis坦承旗下的249款監視器都採用了含有漏洞的gSOAP,只有3款舊機種倖免於難,而Senrio甚至在機場發現了含有漏洞的Axis監視器。Senrio警告,由於這些監視器肩負著安全監控的功能,也會被部署在銀行大廳,可能被駭客用來蒐集機密資料,或是避免犯罪行為遭到記錄。至於開發與負責管理gSOAP的Genivia也在收到Senrio通知後釋出新版本以修補該漏洞。不過,根據Genivia的統計,gSOAP的下載次數已突破100萬次,且包括IBM、微軟與Adobe都名列Genivia的客戶名單中。有鑑於gSOAP被下載後可能遭到複製並於大量的裝置上使用,因此Senrio推測也許有數千萬的軟體產品與IoT裝置受到波及。Senrio建議企業應隔離監視裝置與公共網路,儘可能地部署防火牆或其他安全機制來保護IoT裝置的部署,以及在可能的情況下修補IoT裝置的漏洞。 iThome Security

更多訊息更多資料都在這裡喔!~蝦紅素~蚯蚓粉~膠骨力~南極寶~芙婷寶~膠股力~力雪達~智勝王~蝦青素~蜂王乳~磷蝦油~蜂王漿~PPLS~青春元素~地龍粉~地龍酵素~血栓溶解酵素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *