Peneliti keamanan telah menemukan kerentanan yang dapat dieksploitasi secara remote dalam library open-source yang digunakan oleh produsen utama perangkat Internet-of-Thing (IoT) yang akhirnya membuat jutaan perangkat rentan terhadap serangan hacking.
Kerentanan ini (CVE-2017-9765) ditemukan oleh para periset di perusahaan keamanan yang berfokus pada IoT Senrio. Yang mana kerentanan ini berada dalam library yang disebut gSOAP toolkit (Simple Object Access Protocol) – alat pengkodean C/C++ lanjutan untuk mengembangkan layanan web XML dan aplikasi XML.
Dijuluki “Devils Ivy,” kerentanan buffer overflow di stack memungkinkan penyerang menembus daemon SOAP WebServices dan dapat dieksploitasi untuk mengeksekusi kode arbitrary pada perangkat yang rentan.
Kerentanan Devils Ivy ditemukan oleh para periset saat menganalisis kamera keamanan yang terhubung dengan Internet yang diproduksi oleh Axis Communications.
“Bila dieksploitasi, memungkinkan penyerang mengakses umpan video dari jarak jauh atau menolak akses pemilik ke umpan,” kata periset.
“Karena kamera ini dimaksudkan untuk mengamankan sesuatu, seperti lobi bank, ini bisa menyebabkan pengumpulan informasi sensitif atau mencegah agar tidak diamati atau dicatat.”
Axis mengkonfirmasi kerentanan yang ada di hampir semua 250 model kameranya (Kamu dapat menemukan daftar lengkap model kamera yang terpengaruh di sini) dan Axis-pun dengan cepat meluncurkan update patch pada tanggal 6 Juli untuk mengatasi kerentanan ini, mendorong mitra dan pelanggan untuk melakukan upgrade secepat mungkin.
Loading...
Reload document
Open in new tab Namun, periset percaya bahwa eksploitasi mereka akan bekerja pada perangkat yang tersambung internet dan mungkin dari vendor lain juga, karena perangkat lunak yang terpengaruh digunakan oleh Canon, Siemens, Cisco, Hitachi, dan banyak lainnya.
Axis segera menginformasikan Genivia, perusahaan yang mengelola gSOAP, tentang kerentanan dan Genivia merilis sebuah patch pada tanggal 21 Juni 2017.
Perusahaan tersebut juga menghubungi konsorsium industri elektronik ONVIF untuk memastikan semua anggotanya, termasuk Canon, Cisco, dan Siemens, Mereka yang memanfaatkan gSOAP menyadari masalah ini dan dapat mengembangkan patch untuk memperbaiki masalah keamanan mereka.
Perangkat Internet of Things (IoT) selalu menjadi tautan terlemah dan oleh karena itu mudah bagi peretas untuk masuk ke jaringan yang dituju dengan aman. Jadi, selalu disarankan agar perangkat yang tersambung dengan Internet kamu diperbarui dan jauh dari Internet publik.
