Duizenden Internet of Things-apparaten zijn kwetsbaar voor aanvallers door een beveiligingslek in een redelijk populaire softwarebibliotheek. Het gaat om de gSOAP-softwarebibliotheek, ontwikkeld door Genivia. De kwetsbaarheid kan een aanvaller willekeurige code op apparaten laten uitvoeren.
Het beveiligingslek werd ontdekt door onderzoekers van Senrio, die twee blogpostings over de kwetsbaarheid genaamd "Devil's Ivy" publiceerden. In eerste instantie werd het probleem in de camera's van fabrikant Axis aangetroffen. Axis liet weten dat de kwetsbare softwarebibliotheek in 249 verschillende cameramodellen wordt gebruikt. Een aanvaller kan in het geval van de camera's met beelden meekijken of de eigenaar toegang tot de beelden weigeren. De onderzoekers vonden bijna 15.000 Axis-camera's die via internet toegankelijk zijn. Na te zijn ingelicht heeft Axis firmware-updates voor het probleem uitgebracht.
De gSOAP-bibliotheek wordt echter in veel meer producten gebruikt. Onder andere IBM, Microsoft, Adobe en Xerox maken er gebruik van. Volgens Genivia is de softwarebilbiotheek meer dan 1 miljoen keer gedownload. Er is een grote kans dat fabrikanten die de software hebben gedownload die vervolgens voor meerdere producten zullen gebruiken. Volgens de onderzoekers hebben waarschijnlijk tientallen miljoenen softwareproducten en IoT-apparaten tot op enige hoogte met de kwetsbaarheid te maken. Het is echter op dit moment nog niet mogelijk om de fabrikanten en ontwikkelaars te identificeren van wie de producten kwetsbaar zijn, zo merken ze op.
Deze posting is gelocked. Reageren is niet meer mogelijk.