Abo
  • IT-Karriere:

Devil's Ivy: Gefährliche Schwachstelle in Sicherheitskameras entdeckt

Ein Fehler in gSOAP erlaubt es Angreifern, sich Zugriff von außerhalb auf vernetzte Geräte zu verschaffen, die diese Bibliothek nutzen. Entdeckt wurde der Fehler in Sicherheitskameras des Herstellers Axis. Tausende andere Geräte dürften aber ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen.
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen. (Bild: Axis/Screensot: Golem.de)

Es gibt ein weiteres Kapitel in der Geschichte des Internets der unsicheren Dinge: In fast allen Überwachungskameras des Herstellers Axis wird die Bibliothek gSOAP verwendet - und in der ist eine kritische Schwachstelle (CVE-2017-9765) entdeckt worden. Die Lücke und eine weitere Schwachstelle in dem verwendeten Betriebssystem erlauben die komplette Übernahme der Kamera M3004. Axis hat bereits mit einem Update reagiert. Allerdings wird gSOAP wohl auch in Geräten anderer Hersteller verwendet. Deshalb gehen die Entdecker davon aus, das mehrere Tausend, wenn nicht Millionen Geräte davon betroffen sind.

Stellenmarkt
  1. Computacenter AG & Co. oHG, Erfurt
  2. Hays AG, Hamburg

Zugang zu dem Gerät von Axis haben sich die Sicherheitsexperten beim Unternehmen Senrio über einen Buffer overflow in der Bibliothek gSOAP verschafft. Die Bibliothek erlaubt den Austausch von XML-basierten Daten über das Netzwerk mithilfe des vormals als Simple Object Access bezeichneten Protokolls. Nachdem sich die Experten Zugang zu der Shell des Linux-basierten Betriebssystems der Überwachungskamera verschafft hatten, stellten sie fest, dass sie dort als Benutzer mit eingeschränkten Rechten angemeldet waren und deshalb nur über eine bedingte Befehlsgewalt verfügten. Demnach läuft gSOAP zumindest auf der untersuchten Kamera nicht mit Root-Rechten.

Großzügige Rechtevergabe

Offenbar haben sich die Entwickler des Betriebssystems aber kaum die Mühe gemacht, sich um eine ordentliche Rechtevergabe zu kümmern. Mit einem einfachen Sed-Befehl gelang es den Sicherheitsexperten, die Textdatei access_policy zu ändern, die für die Zugriffsverwaltung des Betriebssystems verantwortlich ist. Denn just access_policy war mit Schreibrechten für den einfachen Benutzer ausgestattet. Anschließend hatten sie die volle Kontrolle über die Kamera.

Das Betriebssystem ist nach den Spezifikationen des Open Network Video Interface Forums (ONVIF) erstellt. Zu den über 500 Mitgliedern gehören auch namhafte Hersteller wie Cisco, Siemens, Canon, Hitachi oder Bosch. Die Open-Source-Bibliothek gSOAP ist nicht zwingend Teil der Spezifikationen des ONVIF. Sie wird vom Softwareunternehmen Genvia entwickelt und frei zur Verfügung gestellt. Genvia spricht aber von mehreren Millionen Downloads der Bibliothek, die auch bei Sourceforge erhältlich ist. Dort wurde die Software allein in den letzten sieben Tagen fast 750 Mal heruntergeladen. Genvia hat bereits eine aktualisierte Version der Bibliothek veröffentlicht.

Kameras sollten nur an einem privaten Netzwerk hängen

Dem Entdecker Senrio teilte der Kamerahersteller Axis mit, dass 249 seiner Produkte von der Schwachsttelle betroffen seien. Für sie gibt es ebenfalls bereits Firmware-Updates. Die Sicherheitsexperten gehen jedoch davon aus, dass weitere Hersteller von der Lücke betroffen sind. Das legt die Verbreitung der ONVIF-Spezifikationen und der betroffenen Softwarebibliothek nahe.

Eine Suche über Shodan durch die Experten bei Senrio ergab, dass mehrere Tausend Überwachungskameras von Axis offen über das Internet zugänglich sind. Deshalb raten die Experten, die Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Getauft haben die Sicheitsexperten bei Senrio ihre Schwachstelle Devil's Ivy. Devil's Ivy - zu Deutsch: giftiger Efeu - sei eine Pflanze, die sich rasch verbreite und kaum loszuwerden sei.



Anzeige
Spiele-Angebote
  1. 26,99€
  2. 4,32€
  3. 1,19€

Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Maps Duckduckgo mit Kartendienst von Apple
  2. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
  3. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /