image

Duizenden IoT-apparaten kwetsbaar door lek in softwarebibliotheek

dinsdag 18 juli 2017, 16:58 door Redactie, 17 reacties

Duizenden Internet of Things-apparaten zijn kwetsbaar voor aanvallers door een beveiligingslek in een redelijk populaire softwarebibliotheek. Het gaat om de gSOAP-softwarebibliotheek, ontwikkeld door Genivia. De kwetsbaarheid kan een aanvaller willekeurige code op apparaten laten uitvoeren.

Het beveiligingslek werd ontdekt door onderzoekers van Senrio, die twee blogpostings over de kwetsbaarheid genaamd "Devil's Ivy" publiceerden. In eerste instantie werd het probleem in de camera's van fabrikant Axis aangetroffen. Axis liet weten dat de kwetsbare softwarebibliotheek in 249 verschillende cameramodellen wordt gebruikt. Een aanvaller kan in het geval van de camera's met beelden meekijken of de eigenaar toegang tot de beelden weigeren. De onderzoekers vonden bijna 15.000 Axis-camera's die via internet toegankelijk zijn. Na te zijn ingelicht heeft Axis firmware-updates voor het probleem uitgebracht.

De gSOAP-bibliotheek wordt echter in veel meer producten gebruikt. Onder andere IBM, Microsoft, Adobe en Xerox maken er gebruik van. Volgens Genivia is de softwarebilbiotheek meer dan 1 miljoen keer gedownload. Er is een grote kans dat fabrikanten die de software hebben gedownload die vervolgens voor meerdere producten zullen gebruiken. Volgens de onderzoekers hebben waarschijnlijk tientallen miljoenen softwareproducten en IoT-apparaten tot op enige hoogte met de kwetsbaarheid te maken. Het is echter op dit moment nog niet mogelijk om de fabrikanten en ontwikkelaars te identificeren van wie de producten kwetsbaar zijn, zo merken ze op.

Image

Reacties (17)
18-07-2017, 17:07 door Anoniem
I(di)oT devices zijn het.
18-07-2017, 17:27 door Anoniem
ben nu benieuwd of IBM, Microsoft, Adobe en Xerox net als Axis asap een update bieden. kijken of dit beter gaat dan met die chinese IoT meuk en of deze fabrikanten hun verantwoordelijkheid nemen.
18-07-2017, 18:40 door [Account Verwijderd]
[Verwijderd]
19-07-2017, 03:57 door Anoniem
"ik heb niks te verbergen en smart is reuze hip en wauw"

Apparaten worden slimmer..... maar de massa?

Geef mijn portie iot voor vandaag maar aan fikkie.

Stupid
Morons
Are
Really
Transparent

Met vriendelijke groet,

Vasily Vpnsky
19-07-2017, 11:35 door Anoniem
Grappig detail: "vele duizenden" en IOT in 1 zin zegt niet veel meer tegenwoordig.

Alleen al IP camera's van 1 merk zijn er al 150 van online (vlgs het artikel). Valt 150k onder "vele duizenden"? Bij mij wel...
19-07-2017, 11:53 door Anoniem
Door Anoniem: Grappig detail: "vele duizenden" en IOT in 1 zin zegt niet veel meer tegenwoordig.

Alleen al IP camera's van 1 merk zijn er al 150 van online (vlgs het artikel). Valt 150k onder "vele duizenden"? Bij mij wel...


Senrio zegt dat moeilijk te schatten is op welke manieren apparaten met de lekke software kwetsbaar zijn, maar schat dat 'tientallen miljoenen apparaten' risico lopen. Zes procent van de bij het Onvif-standaardisatieconsortium aangesloten bedrijven zou gSOAP-gebruiken.

bron: https://tweakers.net/nieuws/127347/lek-in-gsoap-softwarebibliotheek-maakt-veel-iot-apparaten-kwetsbaar.html
20-07-2017, 06:49 door karma4
Zorgelijk is het deel over getsoap en dat het bij de grote commerciëlen in gebruik is. Getsoap is verwerking g van inkomend berichtenverkeer. Xml soap van alles is daarop gebaseerd. Als er de mogelijkheid is om daarachter bijvoorbeeld de jvm over te nemen dan is er mogelijk iets wat op shellshock lijkt.
20-07-2017, 09:48 door [Account Verwijderd] - Bijgewerkt: 20-07-2017, 11:44
[Verwijderd]
20-07-2017, 17:09 door karma4 - Bijgewerkt: 20-07-2017, 19:29
Door Neb Poorten:
Voor gebruik met Java zal je geen C/C++ library als gSOAP gebruiken. Er zijn genoeg alternatieven voor gebruik met Java:

https://en.wikipedia.org/wiki/List_of_web_service_frameworks
Ik had voor mijn post gegoogled wat er bij ibm over gezegd werd. Java EE met vermelding van de gsoap voldoende hits. Iets wat ibm goed op orde heeft is dat die documentatie.
Waarom zouden ibm klanten in wat standaard geleverd wordt gaan zitten grutten voor alternatieven. Zinloos kostbaar en als er wat optreedt is het niet de geteste combi van de leverancier. Dan krijg je de interne managers over je heen waarom er een deviatie is.
https://www.ibm.com/developerworks/webservices/library/ws-soa-gsoap/index.html
Deze is wat specifieker ego webservice is een bouwsteen
https://www.ibm.com/support/knowledgecenter/en/SSZU2E_2.2.0/supported_system_config/software_used_spark.html zegt je misschien niets als big data component. Dit moet een quintje laten horen https://developer.ibm.com/recipes/tutorials/spark-streaming-ibm-watson-iot-platform-integration/

Die opeenstapeling van sub componenten tot een duur commercieel product is vrij gangbaar. Dat comète product is wat de beslissers zien als uniek onderscheidend iets.
21-07-2017, 09:33 door [Account Verwijderd]
[Verwijderd]
21-07-2017, 15:21 door karma4 - Bijgewerkt: 21-07-2017, 15:33
Door Neb Poorten:
Blijkbaar heb je toch niet helemaal begrepen wat je had gegoogled. Gebruik van gSOAP in clients is nl. niet relevant wanneer je het over kwetsbaarheden op de server hebt.
Lees het reactie artikel en de inhoud nog maar eens goed. Ik ga niet op wat geschreeuw af als de waarheid.
Algemene libraries met een fout werken overal door waar ze maar gebruikt worden. Dat is een les die elke code klopper kennelijk door schade en schande moet leren. En de er bij komende les is dat alle anderen ook dat probleem hebben.

De open source library gSOAP heeft een probleem: ergo elke omgeving waar dat gebruikt wordt heeft een probleem.
Het is de input validatie van gSOAP bij XML processing waar het speelt en dat is ernstig als je weet waar dat allemaal zit. Ik heb je de links van een uitgewerkt voorbeeld gegeven. Open source met een fout en gebruikt door een grote commercieel.
Dat is een ongemakkelijke waarheid. Die waarheid verander je niet door ontkenning of negeren.

Voor een code klopper in opleiding betekent het dat je de technical debt al creeert bij het tikken. Jammer als je van je zelf denkt dat je zo'n fantastische codeur bent. Jammer van als die security issues (gaten) in de code. Jammer dat de afnemer die ellende ooit moet zien op te lossen.

Toevoeging:
Je interpretatie van de cliënt is veel te beperkt. C/S architectuur gaat over informatiestromen en diensten. Staat los van doosjes. Neem nu eens een LDAP cliënt, dat is https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Reference_Guide/s1-ldap-pam.html ofwel het OS als vm of op bare IRon. De context is belangrijk he is wat een andere weer de server zou noemen.
21-07-2017, 16:09 door [Account Verwijderd] - Bijgewerkt: 21-07-2017, 16:12
[Verwijderd]
22-07-2017, 01:05 door [Account Verwijderd]
[Verwijderd door moderator]
22-07-2017, 10:27 door [Account Verwijderd]
[Verwijderd door moderator]
22-07-2017, 10:59 door Anoniem
Neb heeft gelijk, een client side gsoap issue is niet een server side issue en het is onwaarschijnlijk dat C/C++ gecompileerde code in een JVM draaien server side. De J staan immers ook voor Java.

@karma4

Verder vraag ik je vriendelijk niet van die cowboy taal te gebruiker als 'code kloppers' en 'codeur'. Het siert niet.
24-07-2017, 12:24 door [Account Verwijderd]
[Verwijderd]
27-07-2017, 09:40 door Anoniem
Door karma4: Zorgelijk is het deel over getsoap en dat het bij de grote commerciëlen in gebruik is. Getsoap is verwerking g van inkomend berichtenverkeer. Xml soap van alles is daarop gebaseerd. Als er de mogelijkheid is om daarachter bijvoorbeeld de jvm over te nemen dan is er mogelijk iets wat op shellshock lijkt.
Wat bedoel je met getsoap? De library heet gSOAP en in de tweede blogpost wordt een functie die soap_get() heet beschreven. Mag ik suggereren dat je de term die je bedoelt voortaan goed reproduceert zodat duidelijk is waar je het over hebt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.