Bug in Open-Source-Software macht Millionen von Überwachungskameras angreifbar

Forscher des Sicherheitsanbieters Senrio haben eine Schwachstelle entdeckt, die es erlaubt, Überwachungskameras ohne viel Aufwand zu hacken und aus der Ferne zu steuern. Die Anfälligkeit steckt in einer Open-Source-Software namens gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services.

Ihren Zero-Day-Exploit nennen die Forscher nach der aus Asien stammenden Kletterpflanze Devil’s Ivy, da sie sich schnell verbreitet und nur sehr schwer wieder entfernen lässt. Mithilfe des Exploits können die Forscher den Video-Feed einer Überwachungskamera ausspähen, die Aufnahme anhalten oder gar die Kamera abschalten.

Auf den Bug stieß Senrio bei einer Untersuchung von Sicherheitskameras von Axis, einem der größten Anbieter von internetfähigen Überwachungskameras. Axis-Produkte werden weltweit zur Überwachung eingesetzt. Unter anderem stammen alle am Flughafen Los Angeles eingesetzten Kameras von Axis.

Von der Sicherheitslücke sind alleine 249 Kameramodelle von Axis betroffen. Zudem sind Produkte von 34 anderen Herstellern anfällig. Da es sich um einen Fehler in einer Open-Source-Software handelt, deren Code jedem offen steht, geht Senrio davon aus, dass weltweit Millionen andere Geräte angreifbar sind.

Genivia, das hinter der Entwicklung von gSOAP steht, zählt nach eigenen Angaben auch Technikfirmen wie IBM, Microsoft und Adobe zu seinen Nutzern. Insgesamt sei seine Software mehr als eine Millionen Mal heruntergeladen worden.

Axis hat laut Senrio bereits mit der Verteilung einer fehlerbereinigten Firmware begonnen und seine Partner und Kunden aufgefordert, ein Upgrade durchzuführen. Senrio bestätigte zudem, dass der von Axis entwickelte Fix den Devil’s-Ivy-Exploit unwirksam macht.

Die Sicherheit von Überwachungskameras steht nicht das erste Mal in der Kritik. F-Secure meldete bereits im Juni 18 Schwachstellen in Produkten des chinesischen Herstellers Foscam, die unter zahlreichen verschiedenen Markennamen verkauft werden. Auch hier war es den Forschern möglich, Videoaufnahmen zu betrachten und die Aufzeichnung zu stoppen. Zudem ließen sich kompromittierte Kameras für DDoS-Attacken und andere bösartige Aktionen nutzen.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Alfred Ng, News.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

23 Stunden ago