Una nueva vulnerabilidad acaba de ser descubierta en la librería de código abierto de gSOAP, también conocida como Devil’s Ivy, y que afecta a decenas de millones de dispositivos. La firma de seguridad informática Senrio ha descubierto esta vulnerabilidad mientras investigaba la seguridad de una cámara de vigilancia con conexión a internet, pero esta investigación ha mostrado una vulnerabilidad que afecta a todos los dispositivos que forman parte del internet de las cosas.
Al igual que Heartbleed, Devil’s Ivy es de código abierto. gSOAP (Simple Object Access Protocol) es un toolkit muy utilizado a la hora de realizar protocolos en servicios web, y los desarrolladores de todo el mundo utilizan gSOAP como parte de su software para permitir que sus dispositivos se conecten a internet. Genivia, la compañía que está detrás de gSOAP, afirma que cuenta con más de 1 millón de descargas, y que entre sus consumidores se encuentran IBM, Microsoft, Adobe y Xerox, entre otras compañías. Una vez que gSOAP se descarga y se añade al repositorio de librerías de una compañía, se puede utilizar para infinidad de productos.
Además, el foro de ONVIF, una organización responsable del mantenimiento de software y protocolos de redes con un propósito lo suficientemente general como para que una gran variedad de compañías cuente con sus servicios, también confía en gSOAP para sus especificaciones.
Este exploit permite acceder a las grabaciones de cámaras de seguridad
Si unimos todos estos casos, “es muy probable que decenas de millones de productos (tanto productos de software como dispositivos conectados) resulten afectados por Devil’s Ivy hasta cierto punto,” han dicho los investigadores de Senrio, en su blog. “Hemos decidido llamar a esta vulnerabilidad Devil’s Ivy porque, al igual que esta planta, es casi imposible matarla y se extiende muy rápidamente, gracias a la reutilización del código. El hecho de que su origen sea un toolkit desarrollado por terceros y que se haya descargado millones de veces significa que ya está extendido a miles de dispositivos y que será muy difícil de eliminar.”
Esta vulnerabilidad se puede aprovechar realizando un exploit en forma de ejecución de código remota. En el caso de la cámara de vigilancia, esto permitiría acceder a la reproducción de vídeo de la cámara de forma remota, o impedir que el dueño de la misma pueda verlo. Y si tenemos en cuenta que estas cámaras tienen como objetivo proteger cosas, como por ejemplo tiendas o bancos, sus consecuencias pueden ser devastadoras.
Axis ha declarado que este problema está presente en 249 modelos diferentes de cámaras con acceso a internet. “El internet de las cosas es imprescindible en estos tiempos. Y cuanto más sofisticados son los dispositivos conectados a redes en nuestra vida diaria, más importante se vuelve estar seguros de que pueden aguantar un ataque malicioso. Identificar este tipo de vulnerabilidades en los dispositivos es una de las formas de hacerlos más seguros,” han declarado los chicos de Senrio. “aunque foros como ONVIF sean muy útiles en términos de coste, eficiencia y de interoperabilidad, también es importante recordar que reutilizar un código ajeno es reutilizar una posible vulnerabilidad. La importancia de este principio en términos de seguridad debería ser evidente.”
Axis ha informado a Genivia de este problema y también se ha puesto en contacto con ONVIF para asegurarse de que todos los miembros del foro son conscientes del problema.