Devil’s Ivy: Fallo detectado en cámaras de seguridad

La seguridad de nuestros dispositivos, tanto smartphones como ordenadores, es algo que nos preocupa. Por ello, contamos de forma habitual con parches de seguridad y actualizaciones disponibles. El problema surge cuando se detectan fallos en otros dispositivos que no reciben dichas actualizaciones con la misma frecuencia.

Devil’s Ivy: Fallo detectado en cámaras de seguridad

Una empresa de seguridad llamada Senrio ha descubierto una vulnerabilidad (CVE-2017-9765) en una librería de desarrollo de terceros llamada gSOAP toolkit. Han bautizado a dicha vulnerabilidad como Devil’s Ivy. Y lo que se logra al explotar dicha vulnerabilidad es un desbordamiento de buffer que permite a un hacker de manera remota hacer que se cuelgue Demon. Así, poder ejecutars el código arbitrario en el dispositivo en cuestión.

Exploit en cámaras de seguridad

Este fallo ha sido descubierto analizando una cámara de seguridad de la empresa Axis Communications. Cuando los atacantes se aprovechan de dicho fallo pueden acceder al feed de la cámara o incluso bloquear al propietario de acceder al feed. Tomando de esta manera control total sobre la cámara.

Este problema cobra especial relevancia si tenemos en cuenta que hay cámaras de seguridad que almacenan información esencial. Piensa en aquellas situadas en bancos o zonas sensibles de empresas. Pueden ser de ayuda en caso de robos o ataques terroristas. Pero una vulnerabilidad como Devil’s Ivy puede permitir acceso a estas cámaras y que la información caiga en manos no deseadas.

[irp]

Axis, la primera afectada, ha revelado que el problema existe en todos sus modelos (alrededor de 250). Otras empresas como Siemens, Hitachi o Canon también pueden estar afectadas por esta vulnerabilidad. Algunas como Axis ya han lanzado parche de seguridad. El resto están trabajando en la corrección de este problema. ¿Qué pensáis de un fallo de seguridad como Devil’s Ivy?