Les chercheurs du cabinet de sécurité Senrio Labs viennent de dévoiler l’existence d’une vulnérabilité zero-day baptisée Devil's Ivy présente dans la couche de communication de gSOAP, une boite à outils Web XML destinée aux développeurs qui permet aux appareils de communiquer avec Internet. Des millions de dispositifs IoT s'appuient sur gSOAP ce qui suggère que cette faille pourrait concerner un nombre très important d’objets connectés un peu partout dans le monde.
Senrio Labs a repéré cette faille en effectuant une analyse poussée des caméras de sécurité Axis, souvent déployées dans des centres commerciaux et des aéroports. L’outil gSOAP a été téléchargé plus d'un million de fois et l’éditeur Genivia, qui gère gSOAP, compte Microsoft, IBM, Adobe et Xerox comme clients.
Consulter les flux ou bloquer la caméra
Lors de la recherche sur les caméras de sécurité Axis, Senrio a découvert que la vulnérabilité pourrait permettre aux pirates d'exécuter un code à distance dans la caméra et d’intercepter les flux vidéo, de redémarrer l'appareil et d’arrêter l’enregistrement pour permettre à un crime de ne pas être détecté. « Si l’impact de la vulnérabilité Devil’s Ivy est relatif, celle-ci montre néanmoins l’importance du risque qui peut en découler et l’intérêt pour les hackers d’identifier des vulnérabilités similaires », commente dans un communiqué de presse Vincent Lavergne de F5 Networks.