Von Forschern des Sicherheitsanbieters Senrio wurde eine Schwachstelle entdeckt, durch die Überwachungskameras ohne viel Aufwand gehackt und aus der Ferne gesteuert werden können. Die Anfälligkeit steckt in einem Software Development Kit für auf SOAP/XML basierende Web-Services namens gSOAP.

Die Forscher nennen ihren Zero-Day-Exploit nach der aus Asien stammenden Kletterpflanze Devil’s Ivy, da sie sich nur sehr schwer wieder entfernen lässt und sich schnell verbreitet. Die Forscher konnten mithilfe des Exploits den Video-Feed einer Überwachungskamera ausspähen, die Kamera abschalten oder die Aufnahme anhalten.

Alleine 249 Kameramodelle von Axis sind von der Sicherheitslücke betroffen. Anfällig sind zudem Produkte von 34 anderen Herstellern. Senrio geht davon aus, dass Millionen andere Geräte angreifbar sind.

Zu seinen Nutzern zählt Genivia, die hinter der Entwicklung von gSOAP steht, auch Technikfirmen wie IBM, Microsoft und Adobe. Mehr als eine Millionen Mal wurde die Software insgesamt heruntergeladen.

Laut Senrio hat Axis mit der Verteilung einer fehlerbereinigten Firmware bereits begonnen. Seine Partner und Kunden hat das Unternhemen aufgefordert, ein Upgrade durchzuführen. Der Fix macht laut Senrio den Devil’s-Ivy-Exploit unwirksam.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE