20 jul. 2017

Vulnerabilidad crítica en cámaras Axis y protocolo gSOAP

La empresa Senrio encontró que Axis Communications, uno de los mayores fabricantes de cámaras web de seguridad en todo el mundo, tiene modelos de cámaras vulnerables a desbordamiento de búfer de pila (CVE-2017-9765).
La explotación de la vulnerabilidad a la que bautizaron Devil's Ivy, resulta en la ejecución remota de código en gSOAP (Simple Object Access Protocol), una biblioteca de código abierto de terceros. Cuando se explota, permite a un atacante acceder remotamente a un feed de vídeo o denegar al propietario dicho acceso. Dado que estas cámaras están destinadas a asegurar algo, como el lobby de banco, esto podría conducir a la recopilación de información sensible o evitar que un crimen sea observado o registrado.

Axis informó a Senri que Devil's Ivy está presente en 249 modelos de cámaras, con la excepción de tres de sus cámaras más antiguas. Una vez que se comprobó que el arreglo de Axis solucionaba la vulnerabilidad, Axis comenzó a liberar rápidamente el firmware parcheado y a impulsar a sus clientes a actualizar.

El impacto de la vulnerabilidad es grave y se encuentra profundamente en la capa de comunicación, en la biblioteca gSOAP que son un conjunto de herramientas de servicios web ampliamente utilizado y que permite que los dispositivos de todo tipo puedan "hablar" con Internet.

Para ayudar a entender la magnitud y alcance de esta vulnerabilidad, la empresa Genivia que gestiona gSOAP, afirma tener más de 1M de descargas de la biblioteca, la mayor parte de los cuales son probablemente desarrolladores, incluso con IBM, Microsoft, Adobe y Xerox como clientes. Por ejemplo, en 2017 se ha descargado 30.000 veces.

Además, Axis es una de las miles de compañías que forman parte del foro de ONVIF, una organización responsable de mantener software y protocolos de red de propósito general, suficiente como para que una variedad de compañías lo utilicen en una amplia gama de productos de seguridad física. Aproximadamente el 6% de los miembros del foro utilizan gSOAP y por lo tanto es probable que decenas de millones de productos y dispositivos sean afectados por Devil's Ivy, aunque en este momento no se puede determinar en qué medida pueden explotarse dichos dispositivos.

Axis informó inmediatamente a Genivia, quien lanzó un parche. Axis también se acercó a ONVIF para asegurar que todos los miembros del foro sean conscientes de la cuestión, y puedan avanzar rápidamente para desarrollar una solución.

Recomendaciones

  1. Mantener los dispositivos de seguridad física fuera de la Internet pública. A partir del 1 de julio, una búsqueda de Shodan indicó más de 14.700 cámaras de domo Axis accesibles públicamente a cualquier persona en el mundo. Todas las cámaras que son vulnerables a Devil's Ivy son potencialmente explotables. Los dispositivos como las cámaras de seguridad deben estar conectados a una red privada, lo que hará que la explotación sea mucho más difícil.
  2. Colocar un firewall u otro mecanismo defensivo frente al dispositivo IoT, o utilizar NAT para reducir su exposición y mejorar la probabilidad de detectar amenazas contra ellos.
  3. Parchear los dispositivos IoT no siempre es posible, incluso cuando el SO subyacente es algo familiar, como Windows XP. Cuando un fabricante publica un parche, asegúrese de actualizar sus dispositivos lo antes posible. Si esto no está dentro de su control, coloque otras capas de seguridad entre su dispositivo vulnerable y el Internet externo.
Para ver el exploit en acción, se puede ver video que publicó la empresa

Fuente: Senrio

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!