Les experts sécu de la société Senrio étaient en train d’auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.
Cette faille toute fraiche baptisée Devil’s Ivy (CVE-2017-9765) permet à un attaquant d’exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s’ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l’exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d’accéder au flux.
gSOAP a été téléchargé plus d’un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil’s Ivy.
Voici une démonstration vidéo de l’exploitation de cette faille sur une caméra Axis M3004 :
Senrio fait les recommandations suivantes pour se protéger :
- Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n’importe où sur la planète.
- Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l’exposition et améliorer la détection d’éventuelles attaques
- Patcher vos appareils dès que les constructeurs sortiront des mises à jour.
Ce dernier conseil m’amuse beaucoup dans on voit ce qui s’est passé avec EternalBlue… Donc j’imagine qu’on entendra à nouveau parler de Devil’s Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)