开源网络服务工具包gSOAP爆安全漏洞，恐危及大量IoT装置

定位为IoT网络安全业者的Senrio本周表示，他们发现开放源码的网络服务工具包gSOAP含有一缓冲区溢位漏洞，可带来远端程式攻击，目前只确定它被应用在瑞典业者Axis所打造的监视器中，但也可能危及其他采用gSOAP的IoT装置。

gSOAP的全名为Simple Object Access Protocol（简单物件存取协定），它能让各种型态的装置与网络通讯。一开始Senrio只是分析了Axis的M3004监视器，发现该监视器所采用的gSOAP含有一安全漏洞，将允许骇客远端存取监视器影像，或是拒绝其他人存取影像。

此一漏洞编号为CVE-2017-9765，Senrio则将它称作“黄金葛”（Devil’s Ivy），因为该漏洞就像黄金葛一样，成长快速又难以歼灭。

在知会Axis之后，Axis坦承旗下的249款监视器都采用了含有漏洞的gSOAP，只有3款旧机种幸免于难，而Senrio甚至在机场发现了含有漏洞的Axis监视器。

Senrio警告，由于这些监视器肩负着安全监控的功能，也会被部署在银行大厅，可能被骇客用来搜集机密资料，或是避免犯罪行为遭到记录。

至于开发与负责管理gSOAP的Genivia也在收到Senrio通知后释出新版本以修补该漏洞。不过，根据Genivia的统计，gSOAP的下载次数已突破100万次，且包括IBM、微软与Adobe都名列Genivia的客户名单中。

有鉴于gSOAP被下载后可能遭到复制并于大量的装置上使用，因此Senrio推测也许有数千万的软件产品与IoT装置受到波及。

Senrio建议企业应隔离监视装置与公共网络，尽可能地部署防火墙或其他安全机制来保护IoT装置的部署，以及在可能的情况下修补IoT装置的漏洞。