Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Cero sin parches
Un popular intercomunicador y videoteléfono inteligente de la empresa china Akuvox, el E11, está plagado de más de una docena de vulnerabilidades, incluido un error crítico que permite la ejecución remota de código (RCE) no autenticado.
Estos podrían permitir que actores maliciosos accedan a la red de una organización, roben fotos o videos capturados por el dispositivo, controlen la cámara y el micrófono, o incluso bloqueen o desbloqueen puertas.
Las vulnerabilidades fueron descubiertas y destacadas por Team82 de la firma de seguridad Claroty, que se dio cuenta de las debilidades del dispositivo cuando se mudaron a una oficina donde ya se había instalado el E11.
La curiosidad de los miembros de Team82 sobre el dispositivo se convirtió en una investigación en toda regla, ya que descubrieron 13 vulnerabilidades, que dividieron en tres categorías según el vector de ataque utilizado.
Los dos primeros tipos pueden ocurrir a través de RCE dentro de la red de área local o la activación remota de la cámara y el micrófono del E11, lo que permite al atacante recopilar y filtrar grabaciones multimedia. El tercer vector de ataque tiene como objetivo el acceso a un servidor de protocolo de transferencia de archivos (FTP) externo e inseguro, lo que permite al actor descargar imágenes y datos almacenados.
En cuanto a los errores más destacados, una amenaza crítica (CVE-2023-0354, con una puntuación CVSS de 9,1) permite acceder al servidor web E11 sin ninguna autenticación de usuario, lo que potencialmente proporciona al atacante un fácil acceso a información confidencial.
"Se puede acceder al servidor web Akuvox E11 sin ninguna autenticación de usuario, y esto podría permitir a un atacante acceder a información confidencial, así como crear y descargar capturas de paquetes con URL predeterminadas conocidas", según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) , que publicó un aviso sobre los errores, incluida una descripción general de la vulnerabilidad.
Otra vulnerabilidad destacada (CVE-2023-0348, con una puntuación CVSS de 7,5) se refiere a la aplicación móvil SmartPlus que los usuarios de iOS y Android pueden descargar para interactuar con el E11.
El problema central radica en la implementación por parte de la aplicación del Protocolo de inicio de sesión (SIP) de código abierto para permitir la comunicación entre dos o más participantes a través de redes IP. El servidor SIP no verifica la autorización de los usuarios de SmartPlus para conectarse a un E11 en particular, lo que significa que cualquier individuo con la aplicación instalada puede conectarse a cualquier E11 conectado a la Web, incluidos aquellos ubicados detrás de un firewall.
"Lo probamos utilizando el intercomunicador de nuestro laboratorio y otro en la entrada de la oficina", según el informe de Claroty. "Cada intercomunicador está asociado con diferentes cuentas y diferentes interlocutores. De hecho, pudimos activar la cámara y el micrófono haciendo una llamada SIP desde la cuenta del laboratorio al intercomunicador de la puerta".
Team82 describió sus intentos de llamar la atención de Akuvox sobre las vulnerabilidades, a partir de enero de 2022, pero después de varios intentos de divulgación, la cuenta de Claroty con el proveedor fue bloqueada. Posteriormente, Team82 publicó un blog técnico que detalla las vulnerabilidades de día cero e involucró al Centro de Coordinación CERT (CERT/CC) y CISA.
Se recomienda a las organizaciones que utilizan la E11 que la desconecten de Internet hasta que se solucionen las vulnerabilidades o que se aseguren de que la cámara no sea capaz de grabar información confidencial.
Dentro de la red de área local, "se recomienda a las organizaciones segmentar y aislar el dispositivo Akuvox del resto de la red empresarial", según el informe de Claroty. "El dispositivo no sólo debe residir en su propio segmento de red, sino que la comunicación con este segmento debe limitarse a una lista mínima de puntos finales".
Un mundo de dispositivos cada vez más conectados ha creado una amplia superficie de ataque para adversarios sofisticados.
Se espera que solo el número de conexiones industriales a Internet de las cosas (IoT), una medida del número total de dispositivos IoT desplegados, se duplique hasta llegar a 36.800 millones en 2025, frente a los 17.700 millones de 2020, según Juniper Research.
Y aunque el Instituto Nacional de Estándares y Tecnología (NIST) ha decidido un estándar para cifrar las comunicaciones de IoT, muchos dispositivos siguen siendo vulnerables y sin parches.
Akuvox es el último de una larga lista de estos que presentan graves deficiencias en lo que respecta a la seguridad del dispositivo. Por ejemplo, el año pasado se reveló una vulnerabilidad crítica de RCE en las cámaras de video IP de Hikvision.
Y en noviembre pasado, una vulnerabilidad en una serie de populares sistemas de entrada digitales ofrecidos por Aiphone permitió a los piratas informáticos violar los sistemas de entrada, simplemente utilizando un dispositivo móvil y una etiqueta de comunicación de campo cercano (NFC).