Una vulnerabilidad llamada Devil’s Ivy tiene en jaque miles de dispositivos

Una vulnerabilidad llamada Devil’s Ivy está poniendo en jaque a miles de dispositivos conectados a la red y que están en riesgo de piratería informática. Ha sido descubierto por los investigadores de seguridad de Senrio, y el fallo afecta a gSOAP, una biblioteca de C/C++ ampliamente utilizada en el desarrollo de firmware para dispositivos. Es por ello que son muchos los equipos que están en peligro.

Devil’s Ivy afecta a gSOAP

gSOAP es un producto con doble licencia (libre y comercial) desarrollado por Genivia, que en su página Web explica que la biblioteca ayuda a las empresas en el “desarrollo de productos que cumplan con los últimos estándares de la industria XML, XML Web Services, WSDL y SOAP, REST, JSON, WS-Security, WS-Trust con SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF y más.

Los investigadores de Senrio descubrieron en un principio la vulnerabilidad mientras analizaban el firmware de la cámara de seguridad Axis M3004.

Stack Clash, una nueva vulnerabilidad grave en sistemas Linux y Unix que permite conseguir permisos de root en cualquier servidor
Stack Clash, una nueva vulnerabilidad grave en sistemas Linux y Unix que permite conseguir permisos de root en cualquier servidor

Después de ponerse en contacto con el vendedor de la cámara tras sus hallazgos, Axis explicó a Senrio que la vulnerabilidad afecta a 249 de los 252 modelos de cámaras de seguridad que fabrica la compañía, que utilizan firmware que incluye el kit de herramientas gSOAP.

La vulnerabilidad es un simple desbordamiento de búfer, pero los investigadores de Senrio han logrado utilizarlo para ejecutar código en la cámara de seguridad Axis.

Actualizaciones

Axis ha publicado actualizaciones de firmware para algunos de los dispositivos afectados. Genivia, la compañía detrás de gSOAP, también ha lanzado la versión 2.8.48, una versión que incluye un parche para Devil’s Ivy.

El problema es que gSOAP es muy popular entre los proveedores de equipos de red. En su sitio Web, Genivia afirma que la biblioteca fue descargada más de un millón de veces. Es por ello que el problema se agrava, ya que muchos equipos podrían estar en riesgo.

La biblioteca es una de las herramientas de codificación recomendadas por el Foro de ONVIF (Foro abierto de interfaces de vídeo en red), un grupo internacional no oficial de proveedores de hardware que emite recomendaciones sobre las mejores prácticas relacionadas con la red.

De acuerdo con los datos obtenidos por Senrio, alrededor del 6% de todos los miembros de ONVIF utilizan gSOAP para sus productos. Senrio estima que “miles de dispositivos” pueden ser vulnerables a Devil’s Ivy.

Según un informe técnico que detalla la vulnerabilidad, Devil’s Ivy se registra como CVE-2017-9765.

Por tanto son miles los dispositivos que actualmente están conectados a Internet y que están en riesgo de piratería informática.

Ver información original al respecto en Fuente