Les chercheurs du cabinet de sécurité Senrio Labs viennent de dévoiler l’existence d’une vulnérabilité zero-day baptisée Devil's Ivy présente dans la couche de communication de gSOAP, une boite à outils Web XML destinée aux développeurs qui permet aux appareils de communiquer avec Internet. Des millions de dispositifs IoT s'appuient sur gSOAP ce qui suggère que cette faille pourrait concerner un nombre très important d’objets connectés un peu partout dans le monde.
Senrio Labs a repéré cette faille en effectuant une analyse poussée des caméras de sécurité Axis, souvent déployées dans des centres commerciaux et des aéroports. L’outil gSOAP a été téléchargé plus d'un million de fois et l’éditeur Genivia, qui gère gSOAP, compte Microsoft, IBM, Adobe et Xerox comme clients.
Consulter les flux ou bloquer la caméra
Lors de la recherche sur les caméras de sécurité Axis, Senrio a découvert que la vulnérabilité pourrait permettre aux pirates d'exécuter un code à distance dans la caméra et d’intercepter les flux vidéo, de redémarrer l'appareil et d’arrêter l’enregistrement pour permettre à un crime de ne pas être détecté. « Si l’impact de la vulnérabilité Devil’s Ivy est relatif, celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les hackers d’identifier des vulnérabilités similaires », commente dans un communiqué de presse Vincent Lavergne de F5 Networks.
Réponse à Visiteur10772 .."il y en à une beaucoup plus grosse que n'importe qui.." Que n'importe qui .... à la plus grosse ?
Signaler un abusAu delà de cette faille qui reste un minimum complexe à exploiter, il y en à une beaucoup plus grosse que n'importe qui dans le monde peut exploiter : admin/admin
Signaler un abusUn site référence toutes les caméras dans le monde qui ne sont pas sécurisées (et il y en à vraiment beaucoup). Dans certains cas, on tombe sur des caméras dans des maisons/magasins et on peut les contrôler comme on le veut.
ADO