E’ stata scoperta una vulnerabilità chiamata Devil’s Ivi che risiede una libreria di sviluppo open-source di terze parti usata dai maggiori produttori di dispositivi Internet Of Things.
La scoperta è stata fatta da un ricercatore dei laboratori Senrio che ha individuato la vulnerabilità nella libreria open-source gSOAP Toolkit, un avanzato strumento di auto-coding in C/C++.
La vulnerabilità può esser sfruttata tramite un exploit creando una condizione di denial of service del servizio SOAP consentendo così l’esecuzione di codice arbitrario (non hai capito i termini? leggi il glossario)
Di seguito il video dimostrativo:
La vulnerabilità è stata scoperta dopo l’analisi di alcune videocamere prodotte da AXIS: il produttore ha confermato che questo problema è presente in oltre 250 modelli (la lista completa qui) ma il 6 luglio ha prontamente rilasciato un aggiornamento firmware che corregge il problema, per questo consigliamo a chi è in possesso di uno dei modelli indicati nella lista di aggiornare tempestivamente il software interno.
Secondo i ricercatori la vulnerabilità potrebbe riguardare anche molti altri produttori di dispositivi IoT: infatti secondo Genivia il download della libreria è stata eseguito oltre un milione di volte da parte di aziende del calibro di IBM, Microsoft e Adobe e nella piattaforma Sourceforge sono avvenuti oltre 1000 download in una settimana, cosa che conferma che la portata del problema potrebbe riguardare veramente milioni di dispositivi IoT.
AXIS ha informato, inoltre, l’azienda che si occupa di gSOAP la quale ha rilasciato una patch correttiva della libreria open-source. I ricercatori consigliano di aggiornare tempestivamente il software e di restringere l’accesso alla videocamera in maniera da ridurre sensibilmente le possibilità di subire un exploit.
Approfondimenti a questo link: