可遠程利用的漏洞使數以百萬計的互聯網連接設備面臨風險

該漏洞（CVE-2017-9765）由專注于物聯網的安全公司Senrio的研究人員發現，位于名為gSOAP工具（簡單對象訪問協議）和；用于開發XML Web服務和XML應用程序的高級C/C++自動編碼工具。

被稱為“魔鬼常春藤，“堆棧緩沖區溢出漏洞允許遠程攻擊者使SOAP WebServices守護程序崩潰，并可能被利用在易受攻擊的設備上執行任意代碼。

研究人員在分析Axis Communications公司生產的互聯網安全攝像頭時發現了魔鬼的常春藤漏洞。研究人員說：“當被利用時，攻擊者可以遠程訪問視頻源，或拒絕所有者訪問視頻源”。“由于這些攝像頭是為了保護某些東西，比如銀行大廳，這可能會導致收集敏感信息，或防止犯罪被觀察或記錄”。

Axis確認了幾乎所有250款相機型號中都存在的漏洞（您可以在此處找到受影響相機型號的完整列表），并于7月6日迅速發布了補丁固件更新以解決該漏洞，促使合作伙伴和客戶盡快升級。

然而，研究人員認為，他們的漏洞也適用于其他供應商的互聯網連接設備，因為受影響的軟件被佳能、西門子、思科、日立和許多其他公司使用。

Axis立即將該漏洞告知了維護gSOAP的公司Genivia，Genivia于2017年6月21日發布了補丁。

該公司還聯系了電子行業聯盟ONVIF，以確保其所有成員，包括佳能、思科和西門子，那些使用gSOAP的人意識到這個問題，并可以開發修補程序來修復安全漏洞。

物聯網（IoT）設備一直是最薄弱的環節，因此黑客很容易進入安全網絡。因此，建議您隨時更新與互聯網連接的設備，并遠離公共互聯網。