物联网网络安全公司Senrio的安全研究人员发现一个代号为“绿萝”(Devil's Ivy)的漏洞。该漏洞使数千台联网设备易遭受黑客攻击。该漏洞的编号为CVE-2017-9765。

Senrio发布报告指出，他们最初发现Axis监控摄像头易遭受黑客攻击。经过大约一天的分析之后，研究人员发现一个堆栈缓冲区溢出漏洞(CVE-2017-9765)，他们将其该漏洞称之为“绿萝”(Devil's Ivy)。

该漏洞存在开源第三方代码库gSOAP中，攻击者可通过该漏洞远程执行代码。一旦被利用，“绿萝”允许攻击者远程访问视频或拒绝所有者访问视频。

这些监控摄像头本用于银行大厅作安保作用，该漏洞可能会导致不法分子收集敏感信息或防止罪犯的行为被记录或监控。

gSOAP是Genivia开发的一款双重许可产品(免费与商用)。

Genivia公司在网站上表示，gSOAP将帮助企业开发满足最新行业标准的产品，例如XML、XML Web服务、WSDL、SOAP、REST、 JSON、WS-Security、带有SAML的WS-Trust、WS-ReliableMessaging、WS-Discovery、TR-069、ONVIF、AWS、WCF等。

安全人员最初在监控摄像机固件中发现此漏洞

Senrio研究人员最初在分析Axis M3004监控摄像头时发现了该漏洞。在联系Axis之后，Axis向Senrio透露，“绿萝”漏洞影响了该公司制造的249款监控摄像头型号(该公司共有252个监控摄像头型号)，这些产品均在固件中使用了gSOAP工具。

该漏洞是一个简单的缓冲区溢出漏洞，但Senrio研究人员设法使其在Axis监控摄像头上执行代码。研究人员录制的攻击演示视频如下：

Axis已经为一些受影响的设备发布了固件更新。gSOAP所属公司Genivia也于6月21日发布了gSOAP 2.8.48，该版本包含针对“绿萝”漏洞的补丁。

“绿萝”影响了数千台设备

gSOAP在许多物联网和网络设备厂商中非常受欢迎。Genivia在网站上声称gSOAP库的下载次数超过100万次。

gSOAP库是ONVIF 论坛推荐的一款编译工具。ONVIF Forum是一个非官方国家硬件厂商组织，他们会发布网络最佳方案相关推荐。

Senrio获取的数据显示，约6%的ONVIF成员在产品中使用gSOAP。Senrio估计，该漏洞可能影响了数千台设备。