Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 19 July 2017

2017.07.19 - Nyhetsbrev

Millioner av IoT-enheter potensielt sårbare for ny svakhet i utbredt tredjeparts-bibliotek.

Devil's Ivy - Ny svakhet i open-source bibliotek påvirker trolig millioner av IoT-enheter.

Sikkerhetsselskapet Senrio har oppdaget en ny svakhet som trolig gjør millioner av IoT-enheter sårbare for ekstern kjøring av ondsinnet kode. Svakheten har blitt gitt navnet "Devil's Ivy", og ble først oppdaget i web-kameraer fra Axis, men selve sårbarheten som utnyttes befinner seg i et underliggende open-source bibliotek i gSOAP. gSOAP er et utvikler-rammeverk som benyttes av utviklere for å bl.a. gi IoT-enheter internett-tilgang. Pga. den store utbredelsen av gSOAP antyder Senrio at flere ti-talls millioner IoT-enheter kan være påvirket av Devil's Ivy-svakheten på en eller annen måte. Genivia, som står bak gSOAP, har nå patchet svakheten. Axis skal ha fjernet sårbarheten fra 249 kamera-modeller vha. ny firmware.
Anbefaling
Oppdatèr til patchet versjon av gSOAP ihht. https://www.genivia.com/changelog.html#Version_2.8.48_upd_(06/21/2017)
Installer patchet firmware på Axis-kameraer.
Referanser
https://www.darkreading.com/cloud/zero-day-ex[...]
http://blog.senr.io/blog/devils-ivy-flaw-in-w[...]
http://blog.senr.io/devilsivy.html

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.