• IT-Karriere:
  • Services:

Devil's Ivy: Gefährliche Schwachstelle in Sicherheitskameras entdeckt

Ein Fehler in gSOAP erlaubt es Angreifern, sich Zugriff von außerhalb auf vernetzte Geräte zu verschaffen, die diese Bibliothek nutzen. Entdeckt wurde der Fehler in Sicherheitskameras des Herstellers Axis. Tausende andere Geräte dürften aber ebenfalls betroffen sein.

Artikel veröffentlicht am ,
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen.
Überwachungskameras von Axis lassen sich aus der Ferne übernehmen. (Bild: Axis/Screensot: Golem.de)

Es gibt ein weiteres Kapitel in der Geschichte des Internets der unsicheren Dinge: In fast allen Überwachungskameras des Herstellers Axis wird die Bibliothek gSOAP verwendet - und in der ist eine kritische Schwachstelle (CVE-2017-9765) entdeckt worden. Die Lücke und eine weitere Schwachstelle in dem verwendeten Betriebssystem erlauben die komplette Übernahme der Kamera M3004. Axis hat bereits mit einem Update reagiert. Allerdings wird gSOAP wohl auch in Geräten anderer Hersteller verwendet. Deshalb gehen die Entdecker davon aus, das mehrere Tausend, wenn nicht Millionen Geräte davon betroffen sind.

Stellenmarkt
  1. STORZ MEDICAL Deutschland GmbH, Jena
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Zugang zu dem Gerät von Axis haben sich die Sicherheitsexperten beim Unternehmen Senrio über einen Buffer overflow in der Bibliothek gSOAP verschafft. Die Bibliothek erlaubt den Austausch von XML-basierten Daten über das Netzwerk mithilfe des vormals als Simple Object Access bezeichneten Protokolls. Nachdem sich die Experten Zugang zu der Shell des Linux-basierten Betriebssystems der Überwachungskamera verschafft hatten, stellten sie fest, dass sie dort als Benutzer mit eingeschränkten Rechten angemeldet waren und deshalb nur über eine bedingte Befehlsgewalt verfügten. Demnach läuft gSOAP zumindest auf der untersuchten Kamera nicht mit Root-Rechten.

Großzügige Rechtevergabe

Offenbar haben sich die Entwickler des Betriebssystems aber kaum die Mühe gemacht, sich um eine ordentliche Rechtevergabe zu kümmern. Mit einem einfachen Sed-Befehl gelang es den Sicherheitsexperten, die Textdatei access_policy zu ändern, die für die Zugriffsverwaltung des Betriebssystems verantwortlich ist. Denn just access_policy war mit Schreibrechten für den einfachen Benutzer ausgestattet. Anschließend hatten sie die volle Kontrolle über die Kamera.

Das Betriebssystem ist nach den Spezifikationen des Open Network Video Interface Forums (ONVIF) erstellt. Zu den über 500 Mitgliedern gehören auch namhafte Hersteller wie Cisco, Siemens, Canon, Hitachi oder Bosch. Die Open-Source-Bibliothek gSOAP ist nicht zwingend Teil der Spezifikationen des ONVIF. Sie wird vom Softwareunternehmen Genvia entwickelt und frei zur Verfügung gestellt. Genvia spricht aber von mehreren Millionen Downloads der Bibliothek, die auch bei Sourceforge erhältlich ist. Dort wurde die Software allein in den letzten sieben Tagen fast 750 Mal heruntergeladen. Genvia hat bereits eine aktualisierte Version der Bibliothek veröffentlicht.

Kameras sollten nur an einem privaten Netzwerk hängen

Dem Entdecker Senrio teilte der Kamerahersteller Axis mit, dass 249 seiner Produkte von der Schwachsttelle betroffen seien. Für sie gibt es ebenfalls bereits Firmware-Updates. Die Sicherheitsexperten gehen jedoch davon aus, dass weitere Hersteller von der Lücke betroffen sind. Das legt die Verbreitung der ONVIF-Spezifikationen und der betroffenen Softwarebibliothek nahe.

Eine Suche über Shodan durch die Experten bei Senrio ergab, dass mehrere Tausend Überwachungskameras von Axis offen über das Internet zugänglich sind. Deshalb raten die Experten, die Kameras nur noch in einem privaten Netzwerk zu verbinden und hinter einer Firewall zu verstecken.

Getauft haben die Sicheitsexperten bei Senrio ihre Schwachstelle Devil's Ivy. Devil's Ivy - zu Deutsch: giftiger Efeu - sei eine Pflanze, die sich rasch verbreite und kaum loszuwerden sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 299,00€

Folgen Sie uns
       


Razer Blade Stealth 13 - Test

Dass ein Gaming-Notebook kompakt sein kann und auch als Arbeitsnotebook fürs Schreiben taugt, haben wir eher weniger erwartet. Das Razer Blade Stealth 13 zeigt, dass dies trotzdem möglich ist.

Razer Blade Stealth 13 - Test Video aufrufen
In eigener Sache: Die offiziellen Golem-PCs sind da
In eigener Sache
Die offiziellen Golem-PCs sind da

Leise, schnell, aufrüstbar: Golem.de bietet erstmals eigene PCs für Kreative und Spieler an. Alle Systeme werden von der Redaktion konfiguriert und getestet, der Bau und Vertrieb erfolgen über den Partner Alternate.

  1. In eigener Sache Was 2019 bei Golem.de los war
  2. In eigener Sache Golem.de sucht Produktmanager/Affiliate (m/w/d)
  3. In eigener Sache Aktiv werden für Golem.de

Elektroautos: Die elektrischste Tiefgarage Deutschlands
Elektroautos
Die elektrischste Tiefgarage Deutschlands

Was muss passieren, damit in zehn Jahren fast jeder in der Tiefgarage sein Elektroauto laden kann? Ein Pilotprojekt bei Stuttgart soll herausfinden, welcher Aufwand auf Netzbetreiber und Eigentümer und Mieter zukommen könnte.
Ein Bericht von Friedhelm Greis

  1. Trotz Software-Problemen VW hält an Terminplan für den ID.3-Start fest
  2. Kabinenroller Microlino 2.0 und dreirädriger E-Motoroller Microletta geplant
  3. Crowdfunding Sono Motors baut vier Prototypen seines Elektroautos

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


      •  /