Internet of Things (IoT)-Geräte bestimmen immer stärker unseren Alltag. Doch leider machen auch immer wieder Hinweise auf die Gefahren Schlagzeilen, die von schlecht gesicherten Geräten ausgehen. Offenbar wurde wieder eine gravierende Sicherheitslücke in IoT-Geräten gefunden, die weltweit Millionen Überwachungskameras angreifbar macht.
Grundsätzlich haben Experten die Sicherheitslücke in einem Model der Security-Kamera Axis M3004 gefunden, die u.a. zur Überwachung in öffentlichen Einrichtungen, Banken und Flughäfen eingesetzt wird.
Die Experten von Senrio nennen die gefundene Sicherheitslücke “Devil’s Ivy“. Provoziert wird dieser Fehler durch die Ausnutzung eines Stapelüberlauf des gSOAP-Moduls in der eingesetzten Open-Source-Bibliothek. Durch deren Ausnutzung ist es Angreifern möglich, aus der Ferne Zugriff auf das Kontroll-Panel zu erhalten, sich anzumelden sowie Zugriff auf den Video-Stream des Gerätes zu erhalten. Darüber hinaus ist die komplette Übernahme des Gerätes möglich.
Demonstration von “Devil´s Ivy” auf der Axis M3004 Sicherheitskamera: Devil’s Ivy Exploit in Axis Security Camera

Vimeo

By loading the video, you agree to Vimeo's privacy policy.
Learn more

Load video


Laut den Sicherheitsexperten ist das ganze Unterfangen kein unbekanntes Problem und kommt immer wieder vor. Schade nur, dass gerade diese “unsichere” Bibliothek mal wieder in Millionen IoT-Devices zu finden ist. Insgesamt sollen 34 Unternehmen diesen unsicheren Code in tausenden Produkten wie Überwachungskameras, Sensoren, Zugangslesern aber auch in Spielzeugen und Babyphones integriert haben.
Eine gute Nachricht: Genivia, das Unternehmen hinter gSOAP, hat bereits ein schließendes Patch (Devil’s-Ivy-Bug in Version 2.8.48 gefixt.) veröffentlicht. Der Hersteller der betroffenen Überwachungskamera Axis hat auch bereits ein schließendes Update für seine Geräte veröffentlicht und wahrscheinlich seine Kunden darüber informiert. Bleibt zu hoffen, dass andere Hersteller genauso schnell reagieren und ihre Endgeräte updaten – was jedoch leider erfahrungsgemäß viel zu selten passiert!
Tipp: Halten Sie die Firmware ihrer IoT-Geräte immer aktuell und spielen Sie zeitnah, wenn vorhanden, Patches und Update ein bzw. informieren Sie sich auf der Herstellerseite.