E安全7月20日讯 物联网网络安全公司Senrio的安全研究人员发现一个代号为“黄金葛”（Devil's Ivy）的漏洞。该漏洞使数千台联网设备易遭受黑客攻击。该漏洞的编号为CVE-2017-9765。

Senrio发布报告指出，他们最初发现Axis监控摄像头易遭受黑客攻击。经过大约一天的分析之后，研究人员发现一个堆栈缓冲区溢出漏洞（CVE-2017-9765），他们将其该漏洞称之为“黄金葛”（Devil's Ivy）。

该漏洞存在开源第三方代码库gSOAP中，攻击者可通过该漏洞远程执行代码。一旦被利用，“黄金葛”允许攻击者远程访问视频或拒绝所有者访问视频。

这些监控摄像头本用于银行大厅作安保作用，该漏洞可能会导致不法分子收集敏感信息或防止罪犯的行为被记录或监控。

gSOAP是Genivia开发的一款双重许可产品（免费与商用）。

Genivia公司在网站上表示，gSOAP将帮助企业开发满足最新行业标准的产品，例如XML、XML Web服务、WSDL、SOAP、REST、 JSON、WS-Security、带有SAML的WS-Trust、WS-ReliableMessaging、WS-Discovery、TR-069、ONVIF、AWS、WCF等。

该漏洞是一个简单的缓冲区溢出漏洞，但Senrio研究人员设法使其在Axis监控摄像头上执行代码。研究人员录制的攻击演示视频如下：
https://v.qq.com/txp/iframe/player.html?vid=a0527xz9dxh&width=500&height=375&auto=0
Axis已经为一些受影响的设备发布了固件更新。gSOAP所属公司Genivia也于6月21日发布了gSOAP 2.8.48，该版本包含针对“黄金葛”漏洞的补丁。

gSOAP库是ONVIF 论坛推荐的一款编译工具。ONVIF Forum是一个非官方国家硬件厂商组织，他们会发布网络最佳方案相关推荐。

Senrio获取的数据显示，约6%的ONVIF成员在产品中使用gSOAP。Senrio估计，该漏洞可能影响了数千台设备。