کمیته رکن چهارم – محققان امنیتی یک آسیبپذیریِ حیاتی اجرای کد از راه دور را در یک کتابخانهی نرمافزاری متنباز کشف کردند که در بسیاری از دستگاههای اینترنت اشیاء مورد استفاده قرار گرفته است. بهرهبرداری از این آسیبپذیری میتواند میلیونها دستگاه متصل به اینترنت را در معرض خطر قرار دهد.
این آسیبپذیری با شناسهی CVE-۲۰۱۷-۹۷۶۵ توسط یکی از محققان از شرکت استارتاپ Senrio کشف شده است. این آسیبپذیری در یک کتابخانهی توسعهی نرمافزار با نام gSOAP وجود دارد که یک ابزار کدنویسیِ خودکار برای C/C++ پیشرفته برای توسعهی سرویسهای وب و برنامههای کاربردیِ XML است.
این آسیبپذیری با نام Devil’s Ivy یک اشکال سرریز بافر است که به مهاجمِ راه دور امکان فروپاشیِ دائمون SOAP WebServices را داده و میتواند برای اجرای کدهای دلخواه بر روی دستگاه آسیبپذیر مورد بهرهبرداری قرار بگیرد. این آسیبپذیری زمانی توسط این محقق امنیتی کشف شد که بر روی یک دوربین اینترنتی متعلق به شرکت Axis در حال تجزیه و تحلیل بود.
شرکت Axis وجود این آسیبپذیری را تأیید کرده و گفته است که بر روی ۲۵۰ مدل از دوربینهای این شرکت، این آسیبپذیری وجود دارد. این شرکت به مشتریان و شرکای تجاری خود در مورد این آسیبپذیری اطلاعرسانی کرده و در تاریخ ۶ جولای وصلهها و بهروزرسانیهایی را برای ثابتافزارهای این دستگاهها منتشر کرده است.
محققان امنیتی معتقدند بهرهبرداریِ آنها بر روی دستگاههای شرکتهای دیگر مانند سیسکو، هیتاچی و دیگر شرکتها نیز به خوبی کار خواهد کرد. شرکت Axis به سرعت وجود این آسیبپذیری را به شرکتی که از این کتابخانه نگهداری میکند با نام Genivia اطلاع داد. این شرکت نیز در تاریخ ۲۱ ژوئن وصلههای مربوط به آن را منتشر کرد.
دستگاههای اینترنت اشیاء معمولاً دارای پیوندهای بسیار ضعیف و آسیبپذیر در سطح شبکه هستند و مهاجمان میتوانند با سوءاستفاده از این ضعفها، به شبکههای امن نفوذ کنند. بنابراین توصیه میکنیم همیشه دستگاههای اینترنت اشیاء را بهروزرسانی کرده و آنها را طوری پیکربندی کنید که در سطح اینترنت قابل دسترسی نباشند.
منبع : news.asis.io
