یک آسیب‌پذیری قابل بهره‌برداری از راه دور، میلیون‌ها دستگاه متصل به اینترنت را در معرض خطر قرار داد.

محققان امنیتی یک آسیب‌پذیری قابل بهره‌برداری از راه دور حیاتی را در یک کتابخانه توسعه نرم‌افزار منبع باز کشف کردند که توسط بسیاری از سازندگان اصلی دستگاه‌های اینترنت اشیا مورد استفاده قرار می‌گیرد که این امر منجر شده است تا میلیون دستگاه در معرض خطر حمله قرار گیرند.

این آسیب‌پذیری که CVE-2017-9765 نام‌گذاری شده است توسط محققان شرکت امنیتی Senrio که بر روی اینترنت اشیا متمرکز هستند کشف شده است[۱] که در یک کتابخانه توسعه نرم‌افزار به نام gSOAP toolkit یا پروتکل ساده دسترسی به شی‌ء^(۱) قرار دارد که یک ابزار خودکار برنامه‌نویسی^(۲) حرفه‌ای C/C++ برای گسترش سرویس‌های وب XML و برنامه XML است.

این آسیب‌پذیری که Devil’s Ivy نامیده شده است، یک آسیب‌پذیری سرریز بافر پشته است که به یک مهاجم از راه دور اجازه می‌دهد تا شبکه‌های سرویس SOAP را خراب کند و می‌تواند به‌منظور اجرای کد دلخواه بر روی دستگاه‌های آسیب‌پذیر مورد استفاده قرار گیرد.

آسیب‌پذیری Devil’s Ivy توسط محققان و در هنگامی کشف شد که در حال آنالیز دوربین‌های امنیتیِ متصل به اینترنت ساخته شده توسط شرکت Axis Communications بودند.

محققان می‌گویند: “هنگامی‌که این آسیب‌پذیری مورد بهره‌برداری قرار گیرد، به یک مهاجم از راه دور اجاره می‌دهد تا به یک فیلم دسترسی داشته باشد یا اینکه از دسترسی صاحب دوربین به یک فیلم جلوگیری می‌کند. ازآنجاکه این دوربین‌ها به‌منظور افزایش امنیت مورد استفاده قرار می‌گیرند، مانند افزایش امنیت لابی یک بانک، این آسیب‌پذیری می‌تواند منجر به این شود که اطلاعات بسیار حساسی توسط مجرمان و توسط همین دوربین‌ها ذخیره‌شده و مورد سوءاستفاده قرار گیرد.”

شرکت Axis تأیید کرده است که این آسیب‌پذیری در بیش از ۲۵۰ مدل از دوربین‌های این شرکت قرار دارد و لیست کامل مدل‌های دوربین آسیب‌پذیر در اینجا قرار دارند[۲]. این شرکت به‌سرعت یک به‌روزرسانی را برای وصله کردن firmware های این دوربین‌ها و در تاریخ ۶ جولای ۲۰۱۷ منتشر کرده است تا این آسیب‌پذیری برطرف شود و از مشتریانش خواسته است که هر چه سریع‌تر این وصله را اعمال کنند.

بااین‌حال، محققان اعتقاد دارند که بهره‌بردار آن‌ها می‌تواند بر روی دیگر دستگاه‌های مشابه اینترنت اشیا که متعلق به دیگر سازندگان است نیز کار کند که این دستگاه‌ها متعلق به شرکت‌های Canon، زیمنس، سیسکو، هیتاچی و بسیاری دیگر از شرکت‌ها هستند.

این شرکت به‌سرعت به Genivia که شرکتی است که gSOAP را راه‌اندازی کرده است در ارتباط با این آسیب‌پذیری اطلاع داده است و Genivia وصله مربوط به این آسیب‌پذیری را در تاریخ ۲۱ ژوئن ۲۰۱۷ منتشر کرده است[۳].

این شرکت همچنین با تمامی شرکت‌های کنسرسیوم صنعت الکترونیک ONVIF تماس گرفته است[۴] تا مطمئن شود که تمامی اعضای آن شامل Canon، سیسکو و زیمنس و تمامی شرکت‌هایی که از gSOAP استفاده می‌کنند از این مشکل آگاهی داشته و وصله موردنظر را به‌منظور برطرف کردن آن اعمال کرده‌اند.

دستگاه‌‌های اینترنت اشیا همواره جزو ضعیف‌ترین لینک‌ها بوده‌اند و به همین خاطر یک راه ورود ساده برای مهاجمان به شمار می‌روند که به شبکه‌های ایمن نفوذ کنند. بنابراین همیشه به کاربران توصیه می‌شود تا دستگاه‌های اینترنت اشیا خود را به‌روزرسانی کنند.

منابع

[۱]http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions

[۲] https://www.axis.com/files/faq/ACV116267_(CVE-2017-9765).pdf

[۳] https://www.genivia.com/changelog.html#Version_2.8.48_upd_(06/21/2017)

[۴] https://www.onvif.org/about/member-list

[۵] http://thehackernews.com/2017/07/gsoap-iot-device-hacking.html

(۱) Simple Object Access Protocol
(۲) auto-coding