Bug in Open-Source-Software macht Millionen von Überwachungskameras angreifbar

von Stefan Beiersmann am , 08:15 Uhr

Der Fehler steckt im Software Development Kit gSOAP. Allein beim Hersteller Axis sind fast 250 Kameramodelle anfällig. Angreifer können aus der Ferne die Videoaufzeichnung ausspähen, anhalten oder anfällige Kameras abschalten.

Forscher des Sicherheitsanbieters Senrio haben eine Schwachstelle entdeckt, die es erlaubt, Überwachungskameras ohne viel Aufwand zu hacken und aus der Ferne zu steuern [1]. Die Anfälligkeit steckt in einer Open-Source-Software namens gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services.

Bug entdeckt (Bild: Shutterstock) [2]Ihren Zero-Day-Exploit nennen die Forscher nach der aus Asien stammenden Kletterpflanze Devil’s Ivy, da sie sich schnell verbreitet und nur sehr schwer wieder entfernen lässt. Mithilfe des Exploits können die Forscher den Video-Feed einer Überwachungskamera ausspähen, die Aufnahme anhalten oder gar die Kamera abschalten.

Auf den Bug stieß Senrio bei einer Untersuchung von Sicherheitskameras von Axis, einem der größten Anbieter von internetfähigen Überwachungskameras. Axis-Produkte werden weltweit zur Überwachung eingesetzt. Unter anderem stammen alle am Flughafen Los Angeles eingesetzten Kameras von Axis.

Von der Sicherheitslücke sind alleine 249 Kameramodelle von Axis betroffen. Zudem sind Produkte von 34 anderen Herstellern anfällig. Da es sich um einen Fehler in einer Open-Source-Software handelt, deren Code jedem offen steht, geht Senrio davon aus, dass weltweit Millionen andere Geräte angreifbar sind.

Genivia, das hinter der Entwicklung von gSOAP steht, zählt nach eigenen Angaben auch Technikfirmen wie IBM, Microsoft [3] und Adobe [4] zu seinen Nutzern. Insgesamt sei seine Software mehr als eine Millionen Mal heruntergeladen worden.

Axis hat laut Senrio bereits mit der Verteilung einer fehlerbereinigten Firmware begonnen und seine Partner und Kunden aufgefordert, ein Upgrade durchzuführen. Senrio bestätigte zudem, dass der von Axis entwickelte Fix den Devil’s-Ivy-Exploit unwirksam macht.

Die Sicherheit von Überwachungskameras steht nicht das erste Mal in der Kritik. F-Secure meldete bereits im Juni 18 Schwachstellen in Produkten des chinesischen Herstellers Foscam [5], die unter zahlreichen verschiedenen Markennamen verkauft werden. Auch hier war es den Forschern möglich, Videoaufnahmen zu betrachten und die Aufzeichnung zu stoppen. Zudem ließen sich kompromittierte Kameras für DDoS-Attacken und andere bösartige Aktionen nutzen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen? [6]

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Alfred Ng, News.com [7]]

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88305207/bug-in-open-source-software-macht-millionen-von-ueberwachungskameras-angreifbar/

URLs in this post:

[1] Überwachungskameras ohne viel Aufwand zu hacken und aus der Ferne zu steuern: http://blog.senr.io/blog/devils-ivy-flaw-in-widely-used-third-party-code-impacts-millions

[2] Image: http://www.zdnet.de/wp-content/uploads/2015/01/shutterstock_bug-800.jpg

[3] Microsoft: http://www.zdnet.de/unternehmen/microsoft/

[4] Adobe: http://www.zdnet.de/unternehmen/adobe/

[5] 18 Schwachstellen in Produkten des chinesischen Herstellers Foscam: http://www.zdnet.de/88300109/ueberwachungskameras-viele-modelle-sind-unsicher/

[6] Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?: http://smart.kyoceradocumentsolutions.de/e-books/von-artikelnummer-bis-zustellung-so-verbessern-sie-mit-dms-ihre-logistikprozesse-von-a-bis-z/?utm_source=netmediaeurope&utm_medium=display&utm_content=text-picture&utm_campaign=cf

[7] News.com: https://www.cnet.com/news/iot-devices-hack-bug-vulnerability-devil-ivy-exploit/