Abo
  • IT-Karriere:

Devil's Ivy: Gefährliche Schwachstelle in Sicherheitskameras entdeckt

Ein Fehler in gSOAP erlaubt es Angreifern, sich Zugriff von außerhalb auf vernetzte Geräte zu verschaffen, die diese Bibliothek nutzen. Entdeckt wurde der Fehler in Sicherheitskameras des Herstellers Axis. Tausende andere Geräte dürften aber ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen.
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen. (Bild: Axis/Screensot: Golem.de)

Es gibt ein weiteres Kapitel in der Geschichte des Internets der unsicheren Dinge: In fast allen Überwachungskameras des Herstellers Axis wird die Bibliothek gSOAP verwendet - und in der ist eine kritische Schwachstelle (CVE-2017-9765) entdeckt worden. Die Lücke und eine weitere Schwachstelle in dem verwendeten Betriebssystem erlauben die komplette Übernahme der Kamera M3004. Axis hat bereits mit einem Update reagiert. Allerdings wird gSOAP wohl auch in Geräten anderer Hersteller verwendet. Deshalb gehen die Entdecker davon aus, das mehrere Tausend, wenn nicht Millionen Geräte davon betroffen sind.

Stellenmarkt
  1. INNEO Solutions GmbH, Leipzig
  2. Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Weiden

Zugang zu dem Gerät von Axis haben sich die Sicherheitsexperten beim Unternehmen Senrio über einen Buffer overflow in der Bibliothek gSOAP verschafft. Die Bibliothek erlaubt den Austausch von XML-basierten Daten über das Netzwerk mithilfe des vormals als Simple Object Access bezeichneten Protokolls. Nachdem sich die Experten Zugang zu der Shell des Linux-basierten Betriebssystems der Überwachungskamera verschafft hatten, stellten sie fest, dass sie dort als Benutzer mit eingeschränkten Rechten angemeldet waren und deshalb nur über eine bedingte Befehlsgewalt verfügten. Demnach läuft gSOAP zumindest auf der untersuchten Kamera nicht mit Root-Rechten.

Großzügige Rechtevergabe

Offenbar haben sich die Entwickler des Betriebssystems aber kaum die Mühe gemacht, sich um eine ordentliche Rechtevergabe zu kümmern. Mit einem einfachen Sed-Befehl gelang es den Sicherheitsexperten, die Textdatei access_policy zu ändern, die für die Zugriffsverwaltung des Betriebssystems verantwortlich ist. Denn just access_policy war mit Schreibrechten für den einfachen Benutzer ausgestattet. Anschließend hatten sie die volle Kontrolle über die Kamera.

Das Betriebssystem ist nach den Spezifikationen des Open Network Video Interface Forums (ONVIF) erstellt. Zu den über 500 Mitgliedern gehören auch namhafte Hersteller wie Cisco, Siemens, Canon, Hitachi oder Bosch. Die Open-Source-Bibliothek gSOAP ist nicht zwingend Teil der Spezifikationen des ONVIF. Sie wird vom Softwareunternehmen Genvia entwickelt und frei zur Verfügung gestellt. Genvia spricht aber von mehreren Millionen Downloads der Bibliothek, die auch bei Sourceforge erhältlich ist. Dort wurde die Software allein in den letzten sieben Tagen fast 750 Mal heruntergeladen. Genvia hat bereits eine aktualisierte Version der Bibliothek veröffentlicht.

Kameras sollten nur an einem privaten Netzwerk hängen

Dem Entdecker Senrio teilte der Kamerahersteller Axis mit, dass 249 seiner Produkte von der Schwachsttelle betroffen seien. Für sie gibt es ebenfalls bereits Firmware-Updates. Die Sicherheitsexperten gehen jedoch davon aus, dass weitere Hersteller von der Lücke betroffen sind. Das legt die Verbreitung der ONVIF-Spezifikationen und der betroffenen Softwarebibliothek nahe.

Eine Suche über Shodan durch die Experten bei Senrio ergab, dass mehrere Tausend Überwachungskameras von Axis offen über das Internet zugänglich sind. Deshalb raten die Experten, die Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Getauft haben die Sicheitsexperten bei Senrio ihre Schwachstelle Devil's Ivy. Devil's Ivy - zu Deutsch: giftiger Efeu - sei eine Pflanze, die sich rasch verbreite und kaum loszuwerden sei.



Anzeige
Spiele-Angebote
  1. 38,99€
  2. 3,99€
  3. 4,99€

Folgen Sie uns
       


Katamaran Energy Observer angesehen

Die Energy Observer ist ein Schiff, das ausschließlich mit erneuerbaren Energien betrieben wird und seinen Treibstoff zum Teil selbst produziert. Wir haben es in Hamburg besucht.

Katamaran Energy Observer angesehen Video aufrufen
Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

    •  /