Pour gérer vos consentements :

IoT : des millions d’objets connectés exposés à une faille de gSOAP

Un bug de sécurité découvert dans un outil de développement pourrait exposer des millions d’objets connectés à des attaques. Ce sont les chercheurs de la firme de sécurité Senrio qui ont mis la souris sur le défaut. Celui-ci se loge dans gSOAP, une bibliothèque C/C++ exploitée dans le développement de micrologiciels embarqués par les appareils électroniques.

Selon Genivia, qui fournit la solution en version libre et commerciale, gSOAP permet de répondre à nombre de protocoles standards de l’industrie (XML, XML Web services, WSDL et SOAP, REST, JSON, WS-Security, WS-Trust avec SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF…). Et l’outil de développement serait particulièrement apprécié des développeurs. Genivia revendique plus d’1 million de téléchargements du logiciel, d’ailleurs recommandé par ONVIF Forum, un consortium privé de constructeurs qui émet des recommandations sur la connectivité IP et la sécurité physique des appareils.

Un simple débordement de mémoire tampon

Les experts en sécurité de Senrio ont en premier lieu découvert comment exploiter un débordement de mémoire tampon (référencé CVE-2017-9765) pour exécuter du code sur une caméra de surveillance Axis Communications, la M3004. Et ont baptisé la faille Devil’s Ivy. Les chercheurs ont alors informé le constructeur des webcams. Lequel a pu constater que Devil’s Ivy affectait pas moins de 249 de ses 252 modèles. Axis étant l’un des plus importants vendeurs mondial de caméras de surveillance web, ce sont des millions de systèmes qui se retrouvent aujourd’hui exposés.

Selon Senrio, Axis a rapidement développé un correctif et invité ses partenaires et clients à mettre à jour leurs produits. De son côté, Genivia a également fourni une version corrigée, la 2.8.48, de gSOAP comblant la faille Devil’s Ivy. Mais si Axis a rapidement pris les devants, combien d’autres constructeurs d’objets connectés concernés par la faille affectant gSOAP vont en faire autant ? « Il est probable que des dizaines de millions de produits – produits logiciels et périphériques connectés – sont affectés par Devil’s Ivy dans une certaine mesure », alerte Senrio.


Lire également

IoT : plus de 100 000 caméra IP infectées par le malware Persirai

IoT : les objets connectés, futur cauchemar pour les réseaux d’entreprise ?

Les pirates s’intéressent de plus en plus à l’Internet des objets

Recent Posts

OVHcloud : 5 start-up internationales à suivre

Au terme de l'événement OVHcloud Startup Program Showcase, 5 start-up ont été départagées. U Impact…

27 minutes ago

GitHub Copilot : danger sur l’open source ?

Désormais en phase commerciale, GitHub Copilot est source de questionnements éthiques et juridiques dans la…

58 minutes ago

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

3 jours ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

3 jours ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

3 jours ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

3 jours ago