据外媒 7 月 18 日报道,物联网安全公司 Senrio 研究人员近期在 gSOAP 工具包(简单对象访问协议)开源软件开发库中发现一处重要漏洞 Devil’s Ivy( CVE-2017-9765 ),允许攻击者远程破坏 SOAP Web 服务后台进程,并在受害者设备上执行任意代码。目前,该漏洞已置数百万台联网设备于危险境地。
据悉,gSOAP 是一款高级 c/c++ 自动编码工具,用于开发 XML Web 服务与 XML 应用程序。研究人员在分析 Axis 网络摄像头时发现该漏洞。一旦成功利用,攻击者将能够远程访问视频来源或拒绝用户访问。鉴于摄像头的特殊功能,该漏洞可导致攻击者窃取敏感数据或清除犯罪信息。
目前,Axis 已证实现有的 250 款摄像机普遍存在该漏洞,并于 7 月 6 日迅速发布固件升级补丁,敦促合作伙伴与客户尽快升级、修复漏洞。考虑到佳能、西门子、思科、日立等公司均使用了同款受影响软件,攻击者极有可能利用其他厂商联网设备。
Axis 当即与电子行业联盟 ONVIF 取得联系,确保包括上述公司在内的潜在受害者均能意识到问题的严重性并及时修复漏洞。研究人员表示,物联网设备堪称网络通信最薄弱的环节,及时更新联网设备、远离公共网络是最明智的做法。
原作者:Swati Khandelwal,译者:青楚,译审:游弋
from hackernews.cc.thanks for it.