物聯網網絡安全公司Senrio的安全研究人員發現一個代號為“綠蘿”(Devil's Ivy)的漏洞。該漏洞使數千臺聯網設備易遭受黑客攻擊。該漏洞的編號為CVE-2017-9765。

Senrio發布報告指出，他們最初發現Axis監控攝像頭易遭受黑客攻擊。經過大約一天的分析之后，研究人員發現一個堆棧緩沖區溢出漏洞(CVE-2017-9765)，他們將其該漏洞稱之為“綠蘿”(Devil's Ivy)。

該漏洞存在開源第三方代碼庫gSOAP中，攻擊者可通過該漏洞遠程執行代碼。一旦被利用，“綠蘿”允許攻擊者遠程訪問視頻或拒絕所有者訪問視頻。

這些監控攝像頭本用于銀行大廳作安保作用，該漏洞可能會導致不法分子收集敏感信息或防止罪犯的行為被記錄或監控。

gSOAP是Genivia開發的一款雙重許可產品(免費與商用)。

Genivia公司在網站上表示，gSOAP將幫助企業開發滿足最新行業標準的產品，例如XML、XML Web服務、WSDL、SOAP、REST、 JSON、WS-Security、帶有SAML的WS-Trust、WS-ReliableMessaging、WS-Discovery、TR-069、ONVIF、AWS、WCF等。

安全人員最初在監控攝像機固件中發現此漏洞

Senrio研究人員最初在分析Axis M3004監控攝像頭時發現了該漏洞。在聯系Axis之后，Axis向Senrio透露，“綠蘿”漏洞影響了該公司制造的249款監控攝像頭型號(該公司共有252個監控攝像頭型號)，這些產品均在固件中使用了gSOAP工具。

該漏洞是一個簡單的緩沖區溢出漏洞，但Senrio研究人員設法使其在Axis監控攝像頭上執行代碼。研究人員錄制的攻擊演示視頻如下：

Axis已經為一些受影響的設備發布了固件更新。gSOAP所屬公司Genivia也于6月21日發布了gSOAP 2.8.48，該版本包含針對“綠蘿”漏洞的補丁。

“綠蘿”影響了數千臺設備

gSOAP在許多物聯網和網絡設備廠商中非常受歡迎。Genivia在網站上聲稱gSOAP庫的下載次數超過100萬次。

gSOAP庫是ONVIF 論壇推薦的一款編譯工具。ONVIF Forum是一個非官方國家硬件廠商組織，他們會發布網絡最佳方案相關推薦。

Senrio獲取的數據顯示，約6%的ONVIF成員在產品中使用gSOAP。Senrio估計，該漏洞可能影響了數千臺設備。