広範囲に広がるDevil’s Ivy

最近発見された 「Devil’s Ivy」という脆弱性は、ONVIFプロトコルをサポートする数百万台のカメラに影響を与えると予想されています。

最初の突破口はAxisカメラで検出され、その後、249種類のAxisカメラモデルで検出されました。しかし、問題はAxisカメラだけではなく、はるかに上回っています。ONVIFメンバーがカメラでONVIFを実装するために広く使用されてる、gSOAPコードに脆弱性があります。ONVIFコンソーシアムには、ボッシュ、キヤノン、シスコ、D-Link、フォーティネット、日立、ハネウェル、ファーウェイ、三菱、ネットギア、パナソニック、シャープ、シーメンス、ソニー、そして、東芝のブランドが加盟しています。

WIRED社との電話で、Geniviaの創設者でgSOAPクリエイターのRobert van Engelenは、34社のONVIF企業が有料顧客としてgSOAPを使用していたと述べました。WIRED社は先週の金曜日に、ONVIFのメンバーリストに載っている15の大手企業に対し、上記に挙げたパッチをリリースしたかどうかを尋ねたところ、ほとんど企業は回答がないか、コメントを拒否しました。

何百万台ものカメラが設置されている図書館の中に、この被害がどれほど広まっているかが最も壊滅的なことです。 このような影響を受ける可能性のあるカメラを更新することは、コストなど考えても、膨大なプロジェクトになります。

なぜ、ネットワークを分割したり、Eagle Eye のカメラサイバーロックダウン機能のようなテクノロジーを利用することが、重要かという理由の明確な例になります。Eagle Eye カメラサイバーロックダウンは、トロイの木馬やその他のマルウェアが含まれている場合でも、攻撃されたり、乗っ取られたりしないように、他のネットワークからカメラを隔離します。この脆弱性を修正するために、各メーカーが、すべてのカメラモデルでファームウェアのリリースなどを、迅速に行えるとは思っていません。

Devil’s Ivyの脆弱性に関するWIRED社の記事を読むことができます：
https://www.wired.com/story/devils-ivy-iot-vulnerability/