Gravierende Sicherheitslücke in Millionen von IP-Kameras aufgedeckt

Eine Schwachstelle in der Open-Source-Komponente gSOAP, die in zahlreichen Modellen von mindestens 35 Herstellern von IP-Überwachungskameras zum Einsatz kommt, kann Unbefugten mit vergleichsweise wenig Aufwand Zugriff auf diese Geräte ermöglichen. Entdeckt wurde die Lücke in gSOAP von Forschern des Sicherheitsanbieters Senrio. Sie bezeichnen sie als Devil’s Ivy und ziehen damit Parallelen zu einer wissenschaftlich als Epipremnum aureum bezeichenten Pflanze: Deren Kulturformen sind zwar beliebte und weit verbreitete Zimmerpflanzen, in der Natur in ihrer Heimat Asien und Australien sind sie jedoch dafür bekannt, dass sie sich schnell ausbreiten und kaum auf Dauer entfernen lassen.

Offiziell hat die Schwachstelle in der in den Kameras verwendeten Open-Source-Software gSOAP, einem Software Development Kit für auf SOAP/XML basierende Web-Services, die Kennung CVE-2017-9765 erhalten. Sie erlaubte es den Forscher den Video-Feed einer Überwachungskamera auszuspähen, die Aufnahme anzuhalten oder die Kamera auch abzuschalten. Auf die Lücke aufmerksam wurden die Forscher bei einer Untersuchung von Sicherheitskameras von Axis. Das schwedische Unternehmen ist einer der wichtigsten Anbieter von internetfähigen Überwachungskameras und insbesondere im gewerblichen Bereich gut vertreten. Seine Kameras kommen auch an Flughäfen in zahlreichen Unternehmen und im öffentlichen Nahverkehr zum Einsatz. Zu den Kunden im deutschsprachigen Raum zählen auch Sparkassen und österreichische Justizbehörden.

Von der Sicherheitslücke sind alleine 249 Kameramodelle von Axis betroffen. Außerdem sind diverse Produkte von 34 weiteren Herstellern anfällig. Senrio geht davon aus, dass insgesamt “Millionen andere Geräte” angreifbar sind. Nach Angaben von Genivia, das hinter der Entwicklung von gSOAP steht, wurde die Software mehr als eine Millionen Mal heruntergeladen.

Axis hat bereits mit der Verteilung einer fehlerbereinigten Firmware begonnen und Partner und Kunden aufgefordert (PDF), ein Update durchzuführen. Senrio bestätigte zudem, dass der von Axis entwickelte Fix den Exploit “Devil’s Ivy” zuverlässig behebt.

Sicherheit von Überwachungskameras nicht das erste Mal in der Kritik

Die Sicherheit von Überwachungskameras steht nicht das erste Mal in der Kritik. Im Juni berichtete F-Secure von 18 Schwachstellen in Produkten des chinesischen Herstellers Foscam, die unter zahlreichen Markennamen verkauft werden. Auch aufgrund dieser Lücke war es möglich, Videoaufnahmen zu betrachten und die Aufzeichnung anzuhalten. Zudem ließen sich in dem Fall kompromittierte Kameras für DDoS-Attacken missbrauchen.

Speziell Axis musste schon im vergangenen Jahr Kunden zu einem Sicherheits-Update auffordern. Grund war damals eine von einem unabhängigen Sicherheitsforscher entdeckte Lücke, die Angreifer ausnutzen konnten, um die Kontrolle über bestimmte Geräte zu übernehmen. Betroffen waren damals Axis-Netzwerkkameras mit den Versionen 5.20 bis 6.20.X der Firmware sowie bestimmte Türkontrollsysteme und Tür-Video-Kommunikationssysteme.

“Obwohl die meisten installierten Kameras sich vermutlich hinter einem geschützten Netzwerk befinden und die Wahrscheinlichkeit, betroffen zu sein gering ist, sehen wir die Lücke als kritisch an und empfehlen, dass Benutzer ein kontrolliertes Firmware-Upgrade der betreffenden Produkte vornehmen. Dabei sollten sie den Hardening Guide befolgen, um mögliche Sicherheitslücken weiter zu reduzieren”, erklärt damals Fred Juhlin, Senior Cybersecurity Analyst bei Axis Communications, in einer Pressemitteilung.

[mit Material von Stefan Beiersmann, ZDNet.de]