Millones de cámaras conectadas a Internet están expuestas por una vulnerabilidad crítica
Un componente de la cadena de suministro está exponiendo cámaras a los atacantes remotos gracias a una vulnerabilidad de seguridad crítica.
Millones de cámaras domésticas y de seguridad conectadas a internet contienen una vulnerabilidad de software crítica. La vulnerabilidad puede permitir a los atacantes remotos acceder a las transmisiones de video. Esto según una advertencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
La vulnerabilidad identificada como CVE-2021-32934 tiene una puntuación de gravedad 9.1/10. Esta se introdujo a través de un componente de la cadena de suministro de ThroughTek que utilizan varios fabricantes de equipos originales (OEM) de cámaras de seguridad. Además, el componente está presente en fabricantes de dispositivos de IoT como cámaras de vigilancia de bebés, mascotas, dispositivos robóticos y de batería.
Los problemas potenciales que surgen de la visualización no autorizada de las fuentes de estos dispositivos son innumerables. Por ejemplo, para los operadores de infraestructura crítica y las empresas, las intercepciones de las señales de video podrían revelar datos comerciales confidenciales, secretos de producción/competitivos, información sobre planos para su uso en ataques físicos e información de los empleados. Y para los usuarios domésticos, las implicaciones de privacidad son obvias.
En su alerta, emitida el martes, CISA dijo que, hasta el momento, ningún exploit público conocido está explotando la vulnerabilidad en el entorno.
SDK P2P vulnerable
El componente ThroughTek en cuestión es un kit de desarrollo de software (SDK) peer-to-peer (P2P). ThroughTek se ha instalado en varios millones de dispositivos conectados, según el proveedor. Se utiliza para proporcionar acceso remoto a transmisiones de audio y video a través de Internet.
Nozomi Networks, que descubrió la vulnerabilidad, señaló que la forma en que funciona P2P se basa en tres aspectos arquitectónicos:
- Una grabadora de video en red (NVR), que está conectada a cámaras de seguridad y representa el servidor P2P local que genera la transmisión de audio/video.
- Un servidor P2P externo, administrado por el proveedor de la cámara o el proveedor del SDK P2P. Este servidor actúa como intermediario, lo que permite que el cliente y el NVR establezcan una conexión entre sí.
- Un cliente de software, ya sea una aplicación móvil o de escritorio, que accede a la transmisión de audio/video desde Internet.
“Una peculiaridad de los SDK P2P … es que los OEM no solo están otorgando licencias para una biblioteca de software P2P”. “También reciben servicios de infraestructura (el servidor P2P externo) para autenticar clientes y servidores y manejar la transmisión de audio/video”.
Analistas de Nozomi Networks
Vulnerabilidad
Al analizar la implementación del cliente específico para la plataforma P2P de ThroughTek y el tráfico de red generado por un cliente de Windows que se conecta al NVR a través de P2P, se puede ver claramente la vulnerabilidad. Los investigadores de Nozomi encontraron que los datos transferidos entre el dispositivo local y los servidores de ThroughTek carecían de un intercambio de claves seguro. Los datos transferidos confían en cambio en un esquema de ofuscación basado en una clave fija.
“Después de establecer algunos puntos de interrupción en los lugares correctos, logramos identificar un código interesante donde el payload del paquete de la red se desofusca. Dado que este tráfico atraviesa Internet, un atacante que pueda acceder a él puede reconstruir la transmisión de audio/video”.
Esto según lo descrito en el artículo de Nozomi
Nozomi creó un script de prueba de concepto que elimina la des-ofuscación de los paquetes sobre la marcha del tráfico de red. No obstante, no dieron más detalles técnicos al respecto. En particular, el aviso de ThroughTek menciona la suplantación de dispositivos y el secuestro de certificados de dispositivos. Esto son básicamente otros riesgos potenciales de cualquier explotación de la vulnerabilidad. El proveedor afirma que ha solucionado el problema con la última versión del firmware.
Versiones afectadas y soluciones:
- Todas las versiones por debajo de 3.1.10
- Firmware del dispositivo que usa el módulo AVAPI sin habilitar el mecanismo DTLS
- Versiones del SDK con etiqueta nossl
- Firmware del dispositivo que no usa AuthKey para la conexión IOTC
- Firmware del dispositivo que utiliza el módulo P2PTunnel o RDT
Acciones a tomar:
- Si el SDK es 3.1.10 o superior, se debe habilitar Authkey y DTLS
- Si el SDK es inferior a 3.1.10, debes actualizar la biblioteca a 3.3.1.0 o 3.4.2.0 y habilitar Authkey/DTLS
Desafortunadamente, los usuarios finales están obligados a confiar en los fabricantes de cámaras e IoT para instalar las actualizaciones. Los socios proveedores de ThroughTek no son de conocimiento público.
“Debido a que la biblioteca P2P de ThroughTek ha sido integrada por múltiples proveedores en muchos dispositivos diferentes a lo largo de los años, es virtualmente imposible que un tercero rastree los productos afectados”.
Investigadores de Nozomi
Las vulnerabilidades en cámaras de IoT no son raras. El mes pasado, por ejemplo, se advirtió a los propietarios de las cámaras de seguridad para el hogar Eufy de una vulnerabilidad interna del servidor. La vulnerabilidad permitía a extraños ver, desplazarse y hacer zoom en los videos domésticos. A los clientes también se les concedió acceso repentinamente para hacer lo mismo con otros usuarios.