Was ist Devis Efeu?

Devil's Ivy ist eine Sicherheitslücke, die es einem Angreifer bei Ausnutzung ermöglicht, remote auf einen Video-Feed zuzugreifen und dem Eigentümer den Zugriff auf den Feed zu verweigern. Im Juli 2017 entdeckte die Sicherheitsfirma Senrio eine Sicherheitsanfälligkeit bezüglich eines Stapelpufferüberlaufs im Open-Source-Toolkit gSOAP von Drittanbietern, das in Millionen von IoT-Geräten (Internet of Things) verwendet wird, einschließlich Überwachungskameras zahlreicher Anbieter.

Senrio nannte die Sicherheitslücke „Devil's Ivy“, da sich der Angriff wie die Devil's Ivy-Pflanze schnell ausbreiten kann und kaum vollständig auszurotten ist, sobald er sich ausgebreitet hat. Dies ist teilweise darauf zurückzuführen, dass gSOAP in einem Toolkit enthalten ist, das millionenfach heruntergeladen wurde und derzeit auf Tausenden von Geräten vorhanden ist.

Als Beispiel wurde festgestellt, dass die Sicherheitslücke Devil's Ivy bei 249 Videokameras des Herstellers Axis vorhanden ist, bei dem Senrio den Fehler Devil's Ivy erstmals entdeckt hat.


Wie Angreifer den Efeufehler des Teufels ausnutzen können

Um einen Angriff auf die Devil's Ivy-Sicherheitsanfälligkeit auszulösen, sendet ein Hacker eine böswillige Nutzlast an Port 80. Zu diesem Zeitpunkt löst die Kamera oder das IoT-Gerät den Pufferstapelüberlauf aus und initiiert nach Ermessen des Angreifers die Codeausführung.

Im schlimmsten Fall könnte ein Angreifer den Exploit des Teufels-Efeus ausnutzen, um vertrauliche Videoinformationen auszuspionieren und zu sammeln oder zu verhindern, dass Videos von kriminellen Ereignissen wie einem Raubüberfall beobachtet oder aufgezeichnet werden.

Der Entwickler der gSOAP-Software, Genivia, hat ein Software-Update mit einem Patch für die Sicherheitslücke Devil's Ivy veröffentlicht, aber Videokameras und andere Geräte des Internet der Dinge werden in den meisten Fällen selten mit neuen Software-Releases aktualisiert. Infolgedessen wird die Sicherheitsanfälligkeit auf absehbare Zeit wahrscheinlich ein Problem bei Millionen von Geräten bleiben.

Schreibe einen Kommentar