Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Devil’s Ivy – Une faille de sécurité dans gSOAP et potentiellement des millions d’objets connectés et de serveurs impactés

Les experts sécu de la société Senrio étaient en train d’auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.

Cette faille toute fraiche baptisée Devil’s Ivy (CVE-2017-9765) permet à un attaquant d’exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s’ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l’exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d’accéder au flux.

gSOAP a été téléchargé plus d’un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil’s Ivy.

Voici une démonstration vidéo de l’exploitation de cette faille sur une caméra Axis M3004 :

Senrio fait les recommandations suivantes pour se protéger :

  • Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n’importe où sur la planète.
  • Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l’exposition et améliorer la détection d’éventuelles attaques
  • Patcher vos appareils dès que les constructeurs sortiront des mises à jour.

Ce dernier conseil m’amuse beaucoup dans on voit ce qui s’est passé avec EternalBlue… Donc j’imagine qu’on entendra à nouveau parler de Devil’s Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)

Source

Serveur NAS Wd NAS EX2 ULTRA 2 BAIES 4TO

Plusieurs options RAID !

Grâce aux paramètres RAID de My Cloud EX2 Ultra, vous pouvez personnaliser votre système en choisissant la configuration qui vous convient le mieux. Utilisez RAID 0 pour de meilleures performances, RAID 1 pour la protection des données en miroir, ou une structure JBOD/multidisques pour les configurations non-RAID.

Le streaming multimédia avec Plex !

Avec le serveur Plex Media Server, tout votre contenu HD sera classé et prêt pour une lecture en streaming. Que vous utilisiez un PC, un appareil mobile, une console de jeux ou tout autre lecteur multimédia certifié, vos contenus seront toujours disponibles grâce à Plex.


Démarrer la discussion sur Korben Communauté