Abo
  • Services:

Devil's Ivy: Gefährliche Schwachstelle in Sicherheitskameras entdeckt

Ein Fehler in gSOAP erlaubt es Angreifern, sich Zugriff von außerhalb auf vernetzte Geräte zu verschaffen, die diese Bibliothek nutzen. Entdeckt wurde der Fehler in Sicherheitskameras des Herstellers Axis. Tausende andere Geräte dürften aber ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen.
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen. (Bild: Axis/Screensot: Golem.de)

Es gibt ein weiteres Kapitel in der Geschichte des Internets der unsicheren Dinge: In fast allen Überwachungskameras des Herstellers Axis wird die Bibliothek gSOAP verwendet - und in der ist eine kritische Schwachstelle (CVE-2017-9765) entdeckt worden. Die Lücke und eine weitere Schwachstelle in dem verwendeten Betriebssystem erlauben die komplette Übernahme der Kamera M3004. Axis hat bereits mit einem Update reagiert. Allerdings wird gSOAP wohl auch in Geräten anderer Hersteller verwendet. Deshalb gehen die Entdecker davon aus, das mehrere Tausend, wenn nicht Millionen Geräte davon betroffen sind.

Stellenmarkt
  1. IAV GmbH, Gifhorn
  2. Bosch Gruppe, Abstatt

Zugang zu dem Gerät von Axis haben sich die Sicherheitsexperten beim Unternehmen Senrio über einen Buffer overflow in der Bibliothek gSOAP verschafft. Die Bibliothek erlaubt den Austausch von XML-basierten Daten über das Netzwerk mithilfe des vormals als Simple Object Access bezeichneten Protokolls. Nachdem sich die Experten Zugang zu der Shell des Linux-basierten Betriebssystems der Überwachungskamera verschafft hatten, stellten sie fest, dass sie dort als Benutzer mit eingeschränkten Rechten angemeldet waren und deshalb nur über eine bedingte Befehlsgewalt verfügten. Demnach läuft gSOAP zumindest auf der untersuchten Kamera nicht mit Root-Rechten.

Großzügige Rechtevergabe

Offenbar haben sich die Entwickler des Betriebssystems aber kaum die Mühe gemacht, sich um eine ordentliche Rechtevergabe zu kümmern. Mit einem einfachen Sed-Befehl gelang es den Sicherheitsexperten, die Textdatei access_policy zu ändern, die für die Zugriffsverwaltung des Betriebssystems verantwortlich ist. Denn just access_policy war mit Schreibrechten für den einfachen Benutzer ausgestattet. Anschließend hatten sie die volle Kontrolle über die Kamera.

Das Betriebssystem ist nach den Spezifikationen des Open Network Video Interface Forums (ONVIF) erstellt. Zu den über 500 Mitgliedern gehören auch namhafte Hersteller wie Cisco, Siemens, Canon, Hitachi oder Bosch. Die Open-Source-Bibliothek gSOAP ist nicht zwingend Teil der Spezifikationen des ONVIF. Sie wird vom Softwareunternehmen Genvia entwickelt und frei zur Verfügung gestellt. Genvia spricht aber von mehreren Millionen Downloads der Bibliothek, die auch bei Sourceforge erhältlich ist. Dort wurde die Software allein in den letzten sieben Tagen fast 750 Mal heruntergeladen. Genvia hat bereits eine aktualisierte Version der Bibliothek veröffentlicht.

Kameras sollten nur an einem privaten Netzwerk hängen

Dem Entdecker Senrio teilte der Kamerahersteller Axis mit, dass 249 seiner Produkte von der Schwachsttelle betroffen seien. Für sie gibt es ebenfalls bereits Firmware-Updates. Die Sicherheitsexperten gehen jedoch davon aus, dass weitere Hersteller von der Lücke betroffen sind. Das legt die Verbreitung der ONVIF-Spezifikationen und der betroffenen Softwarebibliothek nahe.

Eine Suche über Shodan durch die Experten bei Senrio ergab, dass mehrere Tausend Überwachungskameras von Axis offen über das Internet zugänglich sind. Deshalb raten die Experten, die Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Getauft haben die Sicheitsexperten bei Senrio ihre Schwachstelle Devil's Ivy. Devil's Ivy - zu Deutsch: giftiger Efeu - sei eine Pflanze, die sich rasch verbreite und kaum loszuwerden sei.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
Sky Ticket mit TV Stick im Test
Sky kann's gut, Netflix und Amazon können es besser

Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
Ein Test von Ingo Pakalski

  1. Comcast Bezahlsender Sky für 38,8 Milliarden US-Dollar verkauft
  2. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
  3. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos

Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

    •  /