Een recentelijk ontdekt beveiligingslek met de naam “Devil’s Ivy” zal naar verwachting miljoenen camera’s aantasten die het ONVIF-protocol ondersteunen.
Het eerste misbruik werd ontdekt op een Axis-camera en vervolgens ontdekt op 249 verschillende Axis-cameramodellen – maar het probleem gaat veel verder dan alleen Axis-camera’s. De kwetsbaarheid van de code zit in gSOAP, dat veel gebruikt wordt door ONVIF-leden om ONVIF op camera’s te implementeren. Het ONVIF-consortium bestaat uit bijna 500 leden en omvat bedrijven zoals Bosch, Canon, Cisco, D-Link, Fortinet, Hitachi, Honeywell, Huawei, Mitsubishi, Netgear, Panasonic, Sharp, Siemens, Sony en Toshiba.
In een telefoongesprek met WIRED vertelde oprichter van Genivia en gSOAP-maker Robert van Engelen dat 34 ONVIF-bedrijven gSOAP als betalende klanten gebruikten, maar weigerde te vertellen welke. WIRED benaderde vorige week vrijdag de 15 belangrijkste bedrijven op de hierboven vermelde ledenlijst van ONVIF om te vragen of ze specifieke patches voor hun gadgets hebben vrijgegeven – de meesten reageerden niet of weigerden commentaar te geven.
Het meest verwoestende aan deze kwetsbaarheid is hoe wijdverspreid het is, omdat het zich in bibliotheken bevindt die op grote schaal door miljoenen camera’s worden gebruikt. Het updaten van de camera’s die waarschijnlijk zijn getroffen, is een gigantisch project.
Dit is een duidelijk voorbeeld van waarom het segmenteren van uw netwerk of het gebruik van technologie zoals Eagle Eye Camera Cyber Lockdown van cruciaal belang is. Eagle Eye Camera Cyber Lockdown isoleert de camera’s van andere netwerken zodat ze niet kwaadwillig kunnen worden aangevallen of misbruikt als ze een trojan of andere malware bevatten. We verwachten niet dat veel fabrikanten in staat of georganiseerd zijn om een snelle firmware-release uit te voeren op al hun cameramodellen om dit beveiligingslek te repareren.
U kunt het WIRED-artikel over de kwetsbaarheid van de Devil’s Ivy hier lezen:
https://www.wired.com/story/
Andere berichten die u mogelijk interesseren
De gevaren van het rechtstreeks verbinden van camera’s met internet
Dean Drako Dean Drako is de oprichter en CEO van Eagle Eye Networks, de wereldwijde leider op het gebied van cloud videobeveiliging. Eagle Eye Networks staat op nummer 133 in…
maart 18, 2020
Het Ernstigste Datalek
Equifax, het kredietrapportagebedrijf, heeft zojuist het ernstige datalek in de geschiedenis meegemaakt. Dit lek bracht gevoelige gegevens naar buiten, waaronder informatie en adressen van de sociale verzekering van wel 143…
oktober 4, 2017
Devil’s Ivy Firmware-updates
In juli 2017 ontdekten cyberbeveiligingsonderzoekers een ernstige fout, die ze "Devil's Ivy" noemden, welke in bijna alle camera's bestaat die de populaire ONVIF-specificatie ondersteunen. Door de fout kunnen hackers de…
augustus 8, 2017
