Sicherheitslücke in Axis-Überwachungskamera mit Breitenwirkung
"So schwer auszurotten wie Efeu" beschreiben Forscher eine Sicherheitslücke, die sie ursprünglich in einer Überwachungskamera entdeckt haben. Betroffen sind möglicherweise Millionen von Geräten.
(Bild: Axis)
Eigentlich wäre dies nur eine von unzähligen Meldungen zu einer Sicherheitslücke in einem IoT-Device: Fehler gefunden, gemeldet, gepatcht – und dann liegt es bei den Admins die Patches auch einzuspielen. Peinlich nur, dass es ausgerechnet Überwachungskameras betrifft, wie sie in Sicherheitsbereichen von Banken oder an Flughäfen eingesetzt werden. Doch es stellte sich heraus, dass der Fehler in der Bibliothek eines Dritt-Herstellers lag. Die nutzen viele Entwickler für Web Services, und niemand weiß so recht, wo sie überall noch zum Einsatz kommt.
Die Rede ist von gSOAP, einem Open-Source-Toolkit für SOAP und REST XML Web Services in C/C++. Das enthielt einen Fehler, der einen Pufferüberlauf auslösen und damit dem Angreifer die volle Kontrolle über ein Gerät geben konnte. Gefunden und umgesetzt haben das die Security-Experten von Senrio für die oben abgebildete Security-Kamera Axis M3004, die typischerweise in Hochsicherheitsbereichen unter der Decke montiert ist. Doch allein bei Axis sind 249 Kamera-Modelle von diesem Problem betroffen. Angesichts der Download-Zahlen von gSOAP gehen die Forscher jedoch von einer sehr viel weiteren Verbreitung aus und sprechen sogar davon, dass wahrscheinlich mehrere Zehnmillionen Produkte anfällig für die Devil's Ivy getaufte Lücke sind.
Exploit mit Hürden
Die Lücke ist übrigens keine dieser "der Hersteller kennt selbst einfachste Security-Konzepte nicht", wie sie im IoT-Umfeld leider weit verbreitet sind. So nutzt Axis einen nicht-ausführbaren Stack, der angegriffene Dienst läuft mit eingeschränkten Rechten und bei der Inbetriebnahme des Geräts wird die Vergabe eines neuen Root-Passworts erzwungen. Um den Fehler tatsächlich auszunutzen, mussten die Forscher also einige Hebel in Bewegung setzen. Sie nutzten für ihren Exploit Return oriented Programming, um übers Netz einen Shell-Zugang zu erlangen und entfernten dann die Authentifizierungspflicht für einen übers Web-Interface ausgelösten Firmware-Reset, um schließlich ein neues Root-Passwort vergeben zu können.
Axis stellt Updates für die betroffenen Kameras bereit und hat offenbar seine Kunden über deren Verfügbarkeit unterrichtet. Auch der Hersteller von gSOAP, Genivia hat den Devil's-Ivy-Bug in Version 2.8.48 gefixt. Wie lange es jedoch dauert, bis dieses Update seinen Weg in alle betroffenen Produkte zu finden, steht in den Sternen. Grundsätzlich ist es eine gute Sicherheitspraxis, darauf zu verzichten, Internet-fähige Geräte aller Art aus dem Internet erreichbar zu machen. Suchmaschinen wie Shodan beweisen jedoch, dass die keineswegs konsequent zur Anwendung kommt. (ju)
