Devil's Ivy è una vulnerabilità di sicurezza che, se sfruttata, consente a un utente malintenzionato di accedere da remoto a un feed video e negare al proprietario l'accesso al feed. Nel luglio 2017 la società di sicurezza Senrio ha scoperto una vulnerabilità di overflow del buffer di stack nel toolkit di terze parti open source gSOAP, utilizzato in milioni di dispositivi Internet of Things (IoT), comprese le telecamere di sicurezza di numerosi fornitori.
Senrio ha soprannominato la vulnerabilità "Devil's Ivy" perché, come la pianta Devil's Ivy, l'attacco è in grado di diffondersi rapidamente ed è quasi impossibile sradicare completamente una volta che ha iniziato a diffondersi. Ciò è dovuto in parte al fatto che gSOAP è stato incluso in un toolkit che è stato scaricato milioni di volte ed è attualmente presente in migliaia di dispositivi.
Ad esempio, la vulnerabilità Devil's Ivy è stata trovata presente su 249 videocamere vendute dal produttore Axis, che è la società su cui Senrio ha scoperto per la prima volta il difetto di Devil's Ivy.
Come gli aggressori possono sfruttare il difetto dell'edera del diavolo
Per avviare un attacco alla vulnerabilità Devil's Ivy, un hacker invia un payload dannoso alla porta 80, a quel punto la telecamera o il dispositivo IoT attiva l'overflow dello stack del buffer e avvia l'esecuzione del codice a discrezione dell'attaccante.
Nella peggiore delle ipotesi, un aggressore potrebbe sfruttare l'exploit di Devil's Ivy per spiare e raccogliere informazioni video sensibili o impedire l'osservazione o la registrazione di video di eventi criminali come una rapina.
Lo sviluppatore del software gSOAP, Genivia, ha rilasciato un aggiornamento software con una patch per la vulnerabilità Devil's Ivy, ma nella maggior parte dei casi le videocamere e altri dispositivi Internet of Things vengono aggiornati raramente con nuove versioni software. Di conseguenza, è probabile che la vulnerabilità rimanga un problema in milioni di dispositivi per il prossimo futuro.