viernes, 21 de julio de 2017

Devil’s Ivy: Una vulnerabilidad que afecta a millones de dispositivos IoT

Sale a la luz una nueva vulnerabilidad (denominada Devil’s Ivy) que infecta a millones de dispositivos. Este fallo permite ejecutar código remoto en gran parte de los dispositivos IoT: cámaras, lectores de tarjeta, etc.

Los encargados de este descubrimiento son los investigadores de seguridad de la empresa Senrio. Según afirman estos trabajadores, encontraron el fallo analizando el firmware de una cámara Axis M3004.

La vulnerabilidad consiste en un buffer overflow, que los trabajadores de Senrio consiguieron explotar para ejecutar código remoto en la cámara arriba mencionada, tal y como podemos apreciar en el siguiente vídeo.

Demostración de Devil’s Ivy en Axis M3004 por Senrio Labs:

Devil's Ivy Exploit in Axis Security Camera from Senrio Labs on Vimeo.

Después de contactar con los distribuidores de estas cámaras (Axis Communications), la empresa les confirmó que la vulnerabilidad afectaba a unos 249 modelos diferentes de cámaras fabricadas por ellos.

La vulnerabilidad, con CVE-2017-9765 se encuentra en la librería de código abierto gSOAP (Simple Object Access Protocol).

gSOAP es un conjunto de herramientas de servicio web ampliamente usado y desarrollado por Genivia. Muchos programadores lo utilizan como parte de su software para permitir a los dispositivos comunicarse con Internet. Según Genivia, la librería ha sido descargada de su página web más de un millón de veces.


Más información:
Devil's Ivy: The Technical Details
http://blog.senr.io/devilsivy.html

Descarga del último firmware de Axis
https://www.axis.com/global/es/support/firmware

Actualización de gSOAP
https://www.genivia.com/downloads.html

Daniel Púa
dpua@hispasec.com
@arrowcode_