Co je Deviho břečťan?

Devil's Ivy je bezpečnostní chyba, která při zneužití umožňuje útočníkovi vzdáleně přistupovat k video kanálu a odepřít vlastníkovi přístup ke kanálu. V červenci 2017 odhalila bezpečnostní firma Senrio chybu zabezpečení přetečení vyrovnávací paměti zásobníku v otevřené sadě nástrojů třetích stran gSOAP, která se používá v milionech zařízení internetu věcí (IoT), včetně bezpečnostních kamer od mnoha prodejců.

Senrio zranitelnost nazval „Ďáblův břečťan“, protože stejně jako rostlina Ďáblova břečťanu se útok může rychle šířit a je téměř nemožné jej úplně vymýtit, jakmile se začne šířit. To je částečně způsobeno tím, že gSOAP je součástí sady nástrojů, která byla stažena milionkrát a v současné době je přítomna v tisících zařízení.

Například bylo zjištěno, že zranitelnost Devil's Ivy je přítomna na 249 videokamerách prodaných výrobcem Axis, což je společnost, která Senrio poprvé objevila chybu Devil's Ivy.


Jak mohou útočníci využít Ďáblovu chybu břečťanu

Aby zahájil útok na zranitelnost Ďáblova břečťanu, hacker odešle škodlivé užitečné zatížení na port 80, kdy kamera nebo zařízení IoT spustí přetečení zásobníku vyrovnávací paměti a zahájí spuštění kódu podle rozhodnutí útočníka.

V nejhorším scénáři by útočník mohl lovit explozi Ďáblova břečťanu, aby špehoval a shromažďoval citlivé video informace nebo zabránil sledování nebo záznamu videa z kriminálních událostí, jako je loupež.

Vývojář softwaru gSOAP, Genivia, vydal aktualizaci softwaru s opravou zranitelnosti Devil's Ivy, ale videokamery a další zařízení internetu věcí jsou ve většině případů zřídka aktualizována novými verzemi softwaru. Výsledkem je, že zranitelnost pravděpodobně zůstane v dohledné budoucnosti problémem u milionů zařízení.