Devil's Ivy, istismar edildiğinde bir saldırganın video akışına uzaktan erişmesine ve sahibinin yayına erişimini engellemesine olanak tanıyan bir güvenlik açığıdır. Temmuz 2017'de güvenlik firması Senrio, çok sayıda tedarikçinin güvenlik kameraları da dahil olmak üzere milyonlarca Nesnelerin İnterneti (IoT) cihazında kullanılan açık kaynaklı üçüncü taraf araç seti gSOAP'ta yığın arabellek taşması güvenlik açığını ortaya çıkardı.
Senrio savunmasızlığa "Şeytanın Sarmaşığı" adını verdi çünkü, Şeytan'ın Sarmaşık bitkisi gibi, saldırı hızla yayılabilir ve yayılmaya başladıktan sonra tamamen ortadan kaldırılması neredeyse imkansızdır. Bunun nedeni kısmen gSOAP'nin milyonlarca kez indirilen ve şu anda binlerce cihazda bulunan bir araç setine dahil edilmesidir.
Örnek olarak, Devil's Ivy güvenlik açığının, Senrio'nun Devil's Ivy kusurunu ilk keşfettiği üretici Axis tarafından satılan 249 video kamerada olduğu bulundu.
Saldırganlar Şeytanın Sarmaşık Kusurunu Nasıl Kullanabilir?
Bir bilgisayar korsanı, Devil's Ivy güvenlik açığına bir saldırı başlatmak için 80 numaralı bağlantı noktasına kötü amaçlı bir yük gönderir; bu noktada kamera veya IoT cihazı, arabellek yığını taşmasını tetikler ve saldırganın takdirine bağlı olarak kod yürütmeyi başlatır.
En kötü senaryoda, bir saldırgan, hassas video bilgilerini gözetlemek ve toplamak veya bir soygun gibi suç olaylarının videolarının gözlemlenmesini veya kaydedilmesini önlemek için Şeytan'ın Sarmaşık'ı istismarını avlayabilir.
GSOAP yazılımının geliştiricisi Genivia, Devil's Ivy güvenlik açığı için bir yama içeren bir yazılım güncellemesi yayınladı, ancak video kameralar ve diğer Nesnelerin İnterneti cihazları çoğu durumda yeni yazılım sürümleriyle nadiren güncelleniyor. Sonuç olarak, güvenlik açığının öngörülebilir gelecekte milyonlarca cihazda sorun olmaya devam etmesi muhtemeldir.