Buzz
Những rắc rối về bảo mật của internet vạn vật đến từ việc kết nối không chỉ một loạt các thiết bị rẻ tiền với một internet đầy ác quỷ và hacker. Thường xuyên, hàng chục nhà sản xuất khác nhau chạy cùng mã code bên thứ ba trên nhiều sản phẩm khác nhau. Điều này có nghĩa là một lỗi duy nhất có thể ảnh hưởng đến một số lượng đáng kể các thiết bị khác nhau. Hoặc, như các nhà nghiên cứu của một công ty bảo mật gần đây đã phát hiện, một lỗ hổng trong một camera an ninh kết nối internet có thể tiết lộ một lỗ hổng khiến hàng nghìn mô hình thiết bị khác nhau trở nên có nguy cơ.
Cuộc Tấn Công
Vào Thứ Ba, công ty bảo mật tập trung vào internet vạn vật Senrio đã tiết lộ một lỗ hổng có thể hack được mà họ gọi là "Ivy của Quỷ," một lỗ hổng trong một mã code được gọi là gSOAP phổ biến được sử dụng rộng rãi trong các sản phẩm an ninh vật lý, có thể cho phép kẻ tấn công từ xa hoàn toàn vô hiệu hóa hoặc kiểm soát hàng nghìn mô hình thiết bị kết nối internet từ camera an ninh đến cảm biến và đầu đọc thẻ truy cập. Theo Genivia, công ty nhỏ đứng sau mã code gSOAP, có ít nhất 34 công ty sử dụng mã code này trong sản phẩm IoT của họ. Và trong khi Genivia đã phát hành một bản vá cho vấn đề này, nó lan rộng đến mức đó và việc vá làm nổi bật trong Internet vạn vật, có thể kéo dài mà không được sửa chữa trên một phần lớn các thiết bị.
"Chúng tôi đã phát hiện điều này trong một chiếc camera duy nhất, nhưng mã code được sử dụng trong nhiều sản phẩm an ninh vật lý khác nhau," nói Michael Tanji, Giám đốc điều hành của Senrio. "Bất kỳ ai sử dụng một trong những thiết bị đó sẽ bị ảnh hưởng một cách nào đó."
Trong khi các thiết bị internet vạn vật có thể là những thiết bị dễ bị tổn thương nhất đối với lỗ hổng Ivy của Quỷ, Tanji chỉ ra rằng các công ty như IBM và Microsoft cũng bị ảnh hưởng, mặc dù Senrio chưa xác định được bất kỳ ứng dụng cụ thể nào của những công ty đó có nguy cơ. "Quy mô và quy mô của vấn đề này có thể coi là lớn như bất kỳ điều gì chúng ta lo lắng về bảo mật máy tính trong lịch sử gần," Tanji nói.
Không phải tất cả các nhà nghiên cứu bảo mật đều chia sẻ cảm giác khẩn cấp đỏ mã hóa đó. H.D. Moore, một nhà nghiên cứu nổi tiếng về internet vạn vật cho công ty tư vấn Atredis Partners, đã xem xét những kết quả của Senrio và chỉ ra rằng cuộc tấn công phải được cấu hình riêng biệt cho từng thiết bị hoặc ứng dụng có nguy cơ, và yêu cầu gửi hai gigabyte dữ liệu đầy đủ đến một mục tiêu, điều mà ông mô tả là một lượng băng thông "ngốc nghếch". Nhưng ông vẫn coi đó là một lỗ hổng quan trọng và phổ biến - và một minh họa về nguy cơ của việc tái sử dụng mã code từ một công ty nhỏ trên hàng chục triệu thiết bị. "Lỗ hổng này làm nổi bật cách mã nguồn cung ứng được chia sẻ trên Internet of Things," ông viết.
Ai Bị Ảnh Hưởng?
Nghiên cứu của Senrio bắt đầu vào tháng trước, khi các nhà nghiên cứu của họ phát hiện một lỗ hổng được biết đến là tràn bộ đệm trong firmware của một chiếc camera an ninh duy nhất từ nhà sản xuất camera an ninh Thụy Điển Axis Communications. Họ nói rằng lỗi này sẽ cho phép hacker có thể gửi một lượng dữ liệu độc hại lên đến hai gigabyte để chạy bất kỳ mã nào họ chọn trên chiếc camera đó, có thể tắt nó, cài đặt phần malware hoặc thậm chí là giả mạo hoặc chặn luồng video của nó. Và cuộc tấn công, họ nhanh chóng phát hiện, không chỉ hoạt động cho một mô hình camera đó, mà còn cho bất kỳ trong 249 mô hình mà Axis cung cấp.
Axis nhanh chóng phát hành một bản vá cho lỗ hổng. Nhưng công ty cũng thông báo với Senrio rằng lỗi không nằm trong mã của Axis, mà là trong một thư viện mã do Genivia phân phối làm phần của nền tảng phát triển gSOAP phổ biến của mình. Và mã code gSOAP đó được sử dụng—ngoại trừ các ứng dụng khác—để triển khai giao thức được gọi là ONVIF, hoặc Open Network Video Interface Forum, một ngôn ngữ mạng cho camera an ninh và các thiết bị an ninh vật lý khác được sử dụng bởi Hiệp hội ONVIF, có gần 500 thành viên bao gồm các công ty như Bosch, Canon, Cisco, D-Link, Fortinet, Hitachi, Honeywell, Huawei, Mitsubishi, Netgear, Panasonic, Sharp, Siemens, Sony và Toshiba.
Được biết đến những công ty thành viên nào trong số hàng trăm công ty đó sử dụng gSOAP—và có thể đã để lại sản phẩm của họ có nguy cơ—không rõ ràng. Trong một cuộc gọi điện thoại với Mytour, người sáng lập Genivia và người tạo ra gSOAP, Robert van Engelen, cho biết có 34 công ty ONVIF sử dụng gSOAP như là khách hàng trả tiền, nhưng từ chối nói rõ đó là những công ty nào. (Ông cũng khẳng định rằng trong thực tế, chỉ các thiết bị được cấu hình như máy chủ, như camera và cảm biến, mới có nguy cơ, không phải những thiết bị sử dụng gSOAP như là máy khách, như điện thoại và máy tính, vì những máy khách này không có kết nối mở sẵn sàng bị khai thác qua internet. Senrio phản đối tuyên bố đó, lập luận rằng máy chủ độc hại có thể sử dụng lỗ hổng để khai thác máy tính máy khách.) Van Engelen cũng lưu ý rằng phần mềm của ông là mã nguồn mở, vì vậy các công ty khác có thể sử dụng nó mà không cần sự biết đến của ông. Mytour đã liên hệ vào thứ Sáu tuần trước với 15 công ty lớn trên danh sách thành viên ONVIF được đề cập ở trên để hỏi xem họ đã phát hành bản vá cụ thể cho các sản phẩm của họ hay không. Hầu hết không trả lời hoặc từ chối bình luận, nhưng một người phát ngôn của Bosch nói rằng sản phẩm của họ không bị ảnh hưởng bởi lỗ hổng. Một người phát ngôn của Cisco nói rằng công ty "nhận thức về vấn đề và đang theo dõi" nhưng từ chối nói rõ—hoặc có lẽ chưa biết—sản phẩm của họ có nguy cơ hay không. "Trong trường hợp chúng tôi biết rằng sản phẩm Cisco bị ảnh hưởng, chúng tôi sẽ thông báo cho khách hàng thông qua quy trình đã thiết lập của chúng tôi," cô viết trong một tuyên bố.
Sử dụng công cụ quét internet Shodan, Senrio đã tìm thấy 14,700 chiếc camera của Axis mà một mình đã có nguy cơ bị tấn công của họ—ít nhất là trước khi Axis vá lỗi. Và với việc đó chỉ là một trong hàng chục công ty ONVIF sử dụng mã code gSOAP đó, các nhà nghiên cứu của Senrio ước lượng tổng số thiết bị bị ảnh hưởng lên đến hàng triệu.
Tính Nghiêm Trọng của Lỗ Hổng Ivy của Quỷ Là Như Thế Nào?
Mức độ nghiêm trọng của lỗ hổng Ivy của Quỷ của Senrio sẽ phụ thuộc chủ yếu vào việc nó đã được vá rộng rãi như thế nào. Van Engelen của Genivia nói rằng ông đã nhanh chóng tạo ra một bản cập nhật bảo mật ngay sau khi Axis Communications thông báo về vấn đề, công bố một bản vá và thông báo cho khách hàng vào ngày 21 tháng 6. Nhưng ông mô tả bản thân mình là "một người trung gian." "Tôi không thể chắc chắn liệu họ đã áp dụng bản vá hay không," ông nói về 34 nhà cung cấp thiết bị ONVIF. "Đó là trách nhiệm của họ."
Việc thiết bị thực sự được bảo vệ hay không sẽ phụ thuộc vào cả các công ty sử dụng gSOAP đưa ra bản vá và sau đó là việc khách hàng cài đặt nó. Giống như hầu hết các thiết bị Internet of Things, các thiết bị bị ảnh hưởng bởi lỗi của Senrio không nhất thiết có cập nhật tự động, hoặc có các quản trị viên cẩn thận duy trì chúng.
Đối với phần không thể tránh khỏi của các thiết bị không được vá, Ivy của Quỷ có thể vẫn không dẫn đến một sự sụp đổ IoT hàng loạt. Phần lớn các thiết bị có nguy cơ sử dụng giao thức ONVIF được giấu sau tường lửa và các loại phân đoạn mạng khác nhau, làm cho chúng khó tìm kiếm và khai thác hơn, theo Jonathan Lewit, chủ tịch của Ủy ban Truyền thông ONVIF. Và cần phải gửi hai gigabyte dữ liệu độc hại đầy đủ đến thiết bị mục tiêu có nghĩa là một công cụ tấn công Ivy của Quỷ không thể được phun ra trên Internet, theo Moore. Thay vào đó, ông gợi ý nó có thể được sử dụng một cách có mục tiêu, từng thiết bị một lần, hoặc sau khi có một điểm tiếp cận ban đầu trong mạng của nạn nhân. Một số triển khai mã code của gSOAP cũng sẽ tự động giới hạn lượng dữ liệu mà thiết bị có thể nhận trong một thông điệp duy nhất, ngăn cản phương pháp hack của Senrio.
Tầm quan trọng của nó có thể nằm ở chỗ, Moore nói, trong ví dụ về cách một lỗi đơn có thể xâm nhập rộng rãi vào những loại thiết bị như vậy. "IoT ảnh hưởng đến cuộc sống của chúng ta một cách thân thiết hơn nhiều so với máy tính để bàn," ông nói. "Sự phổ biến của lỗ hổng này nhắc nhở chúng ta rằng nếu không có an ninh cho tất cả những thiết bị vi tính nhỏ mà chúng ta phụ thuộc, chúng ta đang đứng trên một tòa nhà của các lá bài." Sự ổn định của tòa nhà đó không chỉ phụ thuộc vào công ty mà bạn mua thiết bị của mình, mà còn vào mọi nhà cung cấp không tên đã viết những góc tối không rõ ràng của mã nguồn của nó.
Bài viết này đã được cập nhật để phản ánh việc Genivia thông báo cho khách hàng về bản vá vào ngày 21 tháng 6.
