Devil’s Ivy is een beveiligingsprobleem dat een aanvaller in staat stelt op afstand toegang te krijgen tot een videofeed en de eigenaar toegang tot de feed te weigeren. In juli 2017 ontdekte het beveiligingsbedrijf Senrio een kwetsbaarheid voor stackbufferoverloop in de open source toolkit gSOAP van derden, die wordt gebruikt in miljoenen Internet of Things (IoT) -apparaten, waaronder beveiligingscamera’s van talloze leveranciers.
Senrio noemde de kwetsbaarheid ‘Devil’s Ivy’ omdat de aanval, net als de Devil’s Ivy-plant, zich snel kan verspreiden en bijna onmogelijk volledig uit te roeien als deze eenmaal is begonnen zich te verspreiden. Dit komt gedeeltelijk doordat gSOAP is opgenomen in een toolkit die miljoenen keren is gedownload en momenteel aanwezig is op duizenden apparaten.
De Devil’s Ivy-kwetsbaarheid bleek bijvoorbeeld aanwezig te zijn op 249 videocamera’s die werden verkocht door fabrikant Axis, het bedrijf waar Senrio voor het eerst de Devil’s Ivy-fout ontdekte.
Hoe aanvallers de klimopfout van de duivel kunnen uitbuiten
Om een aanval op de Devil’s Ivy-kwetsbaarheid te initiëren, stuurt een hacker een kwaadaardige payload naar poort 80, op welk punt de camera of het IoT-apparaat de buffer stack overflow activeert en de uitvoering van code initieert naar goeddunken van de aanvaller.
In het ergste geval zou een aanvaller kunnen jagen op de Devil’s Ivy-uitbuiting om gevoelige video-informatie te bespioneren en te verzamelen of te voorkomen dat video van criminele gebeurtenissen zoals een overval wordt waargenomen of opgenomen.
De ontwikkelaar van de gSOAP-software, Genivia, heeft een software-update uitgebracht met een patch voor de Devil’s Ivy-kwetsbaarheid, maar videocamera’s en andere Internet of Things-apparaten worden in de meeste gevallen zelden bijgewerkt met nieuwe softwarereleases. Als gevolg hiervan zal de kwetsbaarheid in de nabije toekomst waarschijnlijk een probleem blijven in miljoenen apparaten.