Una vulnerabilità recentemente scoperta, cui è stato attribuito il nome di “Devil’s Ivy”, probabilmente colpirà milioni di videocamere che supportano il protocollo ONVIF.
L’exploit inizialmente è stato scoperto su una videocamera Axis e quindi individuato su 249 modelli Axis diversi, ma il problema non interesse soltanto le videocamere Axis. La vulnerabilità del codice risiede in gSOAP, che è ampiamente utilizzato dai membri di ONVIF per implementare l’omonimo protocollo sulle videocamere. Il consorzio ONVIF raccoglie quasi 500 membri, tra cui figurano aziende quali Bosch, Canon, Cisco, D-Link, Fortinet, Hitachi, Honeywell, Huawei, Mitsubishi, Netgear, Panasonic, Sharp, Siemens, Sony e Toshiba.
In una conversazione telefonica con WIRED, il fondatore di Genivia nonché creatore di gSOAP Robert van Engelen ha detto che 34 aziende ONVIF usavano gSOAP come clienti paganti, ma si è rifiutato di rilevare quali. WIRED venerdì scorso ha contattato le 15 principali aziende dell’elenco dei membri di ONVIF sopracitato per chiedere loro se avessero rilasciato patch specifiche per i propri dispositivi: la maggior parte di società non ha risposto o ha rifiutato di commentare la situazione.
L’aspetto più rovinoso di questa venerabilità è la sua ampia diffusione perché essa si trova all’interno di librerie largamente utilizzate su milioni di videocamere. Aggiornare le videocamere interessate dal problema è quindi un’impresa di proporzioni titaniche.
Si tratta di un chiaro esempio del perché segmentare la propria rete o utilizzare tecnologie come l’isolamento informatico delle videocamere di Eagle Eye sia fondamentale. l’isolamento informatico delle videocamere di Eagle Eye isola le videocamere da altre reti affinché non possano essere attaccate in modo dannoso né utilizzate se contengono un trojan o altri malware. Non pensiamo che molti produttori siano attrezzati o organizzati per effettuare un rilascio veloce di firmware aggiornato su tutti i loro modelli di videocamere per ovviare a questa vulnerabilità.
È possibile leggere l’articolo di WIRED riguardante la vulnerabilità Devil’s Ivy qui:
https://www.wired.com/story/
Altri post che potrebbero interessarti
Log4j Security Update
On Friday, Dec. 10, 2021 the Apache Software Foundation disclosed a critical vulnerability (CVE-2021-44228) in its “Log4j” software. The disclosure has received extensive news coverage because of the ubiquity of…
Dicembre 13, 2021
The Dangers of Connecting Cameras Directly to the Internet
Dean Drako Dean Drako is the founder and CEO of Eagle Eye Networks, the global leader in cloud video security. Eagle Eye Networks ranked #133 in Deloitte’s 2019 Technology Fast…
Marzo 18, 2020
Macy’s Hit in Cyber Data Breach
Macy's and Bloomingdales join a long list of retailers hit with cyber breaches this year, including Adidas, Under Armour, Forever21, Saks Fifth Avenue and Lord & Taylor. In a notice…
Agosto 3, 2018
