تهدید امنیت دستگاه های اینترنت اشیاء با آسیب‌پذیری با Devil’s Ivy

ویرایش شده در by زنگی

تهدید امنیت دستگاه های اینترنت اشیاء با آسیب‌پذیری با Devil’s Ivy

محققان امنیتی یک آسیب‌پذیریِ حیاتی اجرای کد از راه دور را در یک کتابخانه‌ی نرم‌افزاری متن‌باز کشف کردند که در بسیاری از دستگاه‌های اینترنت اشیاء مورد استفاده قرار گرفته است؛ که بهره‌برداری از آن میلیون‌ها دستگاه متصل به اینترنت را در معرض خطر قرار می‌ دهد.

این آسیب‌پذیری با Devil’s Ivy و شناسه‌ی CVE-۲۰۱۷-۹۷۶۵ توسط یکی از محققان از شرکت استارتاپ Senrio کشف شده است. این آسیب‌پذیری در یک کتابخانه‌ی توسعه‌ی نرم‌افزار با نام gSOAP وجود دارد که یک ابزار کدنویسیِ خودکار برای C/C++ پیشرفته برای توسعه‌ی سرویس‌های وب و برنامه‌های کاربردیِ XML است.

Devil’s Ivy یک اشکال سرریز بافر است که به مهاجمِ راه دور امکان فروپاشیِ دائمون SOAP WebServices را داده و می‌تواند برای اجرای کدهای دلخواه بر روی دستگاه آسیب‌پذیر مورد بهره‌برداری قرار بگیرد. این آسیب‌پذیری زمانی توسط این محقق امنیتی کشف شد که بر روی یک دوربین اینترنتی متعلق به شرکت Axis در حال تجزیه و تحلیل بود.

 تهدید امنیت دستگاه های اینترنت اشیاء با آسیب‌پذیری با Devil's Ivy

اطلاع رسانی آسیب‌پذیری

شرکت Axis وجود Devil’s Ivy را تأیید کرده و گفته است که بر روی ۲۵۰ مدل از دوربین‌های این شرکت، این آسیب‌پذیری وجود دارد. این شرکت به مشتریان و شرکای تجاری خود در مورد این آسیب‌پذیری اطلاع‌رسانی کرده و در تاریخ ۶ جولای وصله‌ها و به‌روزرسانی‌هایی را برای ثابت‌افزارهای این دستگاه‌ها منتشر کرده است.

محققان امنیتی معتقدند بهره‌برداریِ آن‌ها بر روی دستگاه‌های شرکت‌های دیگر مانند سیسکو، هیتاچی و دیگر شرکت‌ها نیز به خوبی کار خواهد کرد. شرکت Axis به سرعت وجود این آسیب‌پذیری را به شرکتی که از این کتابخانه نگهداری می‌کند با نام Genivia اطلاع داد. این شرکت نیز در تاریخ ۲۱ ژوئن وصله‌های مربوط به آن را منتشر کرد.

دستگاه‌های اینترنت اشیاء معمولاً دارای پیوندهای بسیار ضعیف و آسیب‌پذیر در سطح شبکه هستند و مهاجمان می‌توانند با سوءاستفاده از این ضعف‌ها، به شبکه‌های امن نفوذ کنند. بنابراین توصیه می‌کنیم همیشه دستگاه‌های اینترنت اشیاء را به‌روزرسانی کرده و آن‌ها را به گونه ای پیکربندی کنید که در سطح اینترنت قابل دسترسی نباشند.

این نوشته تا چه حد مفید بود؟
[Total: 0 Average: 0]

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.