محققان امنیتی یک آسیب پذیری با نام Devil’s Ivy را کشف کرده اند که در یک کتابخانه ی متن باز وجود دارد. این کتابخانه در میلیون ها دستگاه متصل به اینترنت مانند دوربین های اینترنتی و سایر دستگاه های اینترنت اشیاء وجود دارد و می تواند آن ها را در معرض خطر قرار دهد.
این آسیب پذیری که یک اشکال سرریز بافر است، توسط یکی از محققان از یک شرکت استارتاپ با نام Senrio کشف شده که در دوربین های شرکت Axis برای اولین بار شناسایی شده است. این شرکت یکی از بزرگترین تولیدکنندههای دوربین اینترنتی در سطح جهان است. این آسیبپذیری با شناسهی CVE-2017-9765 میتواند توسط مهاجمان برای ایجاد شرایط منع سرویس و همچنین اجرای کدهای مخرب مورد بهرهبرداری قرار بگیرد. محققان این شرکت در مشاورهنامهای جزئیات این آسیبپذیری را تشریح کرده و در یک فایل ویدئویی، بهرهبرداری از آن را نمایش دادهاند.
مهاجم با بهرهبرداری از این آسیبپذیری میتواند به تمامی دادههای جمعآوریشده توسط دوربین دسترسی داشته و مانع از دسترسی مالک دوربین به این فایلهای ویدئویی شود. مهاجم با اینکار میتواند کاری کند تا سارق بانک، توسط دوربین مشاهده نشود. شرکت Axis متوجه شده که این آسیبپذیری ۲۵۰ مدل از محصولات این شرکت را تحت تأثیر قرار داده و برای بهروزرسانی ثابتافزارهای آنها وارد عمل شده است. این شرکت به مشتریان و شرکای خود نیز در مورد وجود این آسیبپذیری اطلاعرسانی کرده است.
بررسیها نشان داد که این آسیبپذیری در یک کیت توسعه با نام gSOAP وجود دارد. این ابزار استفاده از XML را در سرور و کلاینت آسان میکند. گزارشها حاکی از این است که این ابزار توسط ۵۰۰ شرکت مورد استفاده قرار گرفته و بیش از یک میلیون بار دانلود شده است. محققان امنیتی معتقدند این آسیبپذیری میتواند دهها میلیون دستگاه اینترنت اشیاء را تحت تأثیر قرار دهد. این شرکت امنیتی در تاریخ ۱ جولای با استفاده از ابزار Shodan پویشی را انجام داده و نتایج حاکی از آن است که تقریباً ۱۵ هزار دوربین شرکت Axis در سطح اینترنت قابل دسترسی هستند.
با این حال شرکت Axis در مشاورهنامهی امنیتی خود اعلام کرده که بهرهبرداری از این آسیبپذیری به یک مهاجم باتجربه و ماهر و آشنا به این زمینه نیاز دارد. مهاجم لازم دارد به شبکهای که ماشین آسیبپذیر را میزبانی میکند، دسترسی داشته و دستگاههایی که در سطح اینترنت در دسترس هستند، در معرض خطرات بیشتری قرار دارند. محققان امنیتی پیشنهاد دادند که کاربران در اسرع وقت، دستگاههای اینترنت اشیاء را بهروزرسانی کرده و وصلهها را اعمال کنند. همچنین توصیه شده از این دستگاهها پشت یک دیوارهی آتش استفاده شود.
