Reportan brecha de seguridad que afecta a millones de cámaras de seguridad

Cuando hablamos de dispositivos IoT (o internet de las cosas), nos referimos principalmente a dispositivos que encontramos en distintos espacios como en el hogar y que tienen la particularidad de conectarse a internet. Muchos de estos dispositivos han comenzado a popularizarse y cumplen distintas funciones.

Hace unos días, un investigador llamado Paul Marrapese informó sobre un reporte de vulnerabilidad que afecta a millones de estos dispositivos IoT, los que tienen en común denominador el uso de componente del software IoT, iLnkP2P, que es utilizado para que el usuario pueda conectarse a sus dispositivos mediante P2P. 

Este fallo permite que un atacante pueda explotar estos errores para encontrar cámaras vulnerables para luego poder acceder a ellas sin que el propietario se de cuenta. Clic para tuitear

Estamos hablando que esta tecnología lo utiliza cientos de marcas de cámaras de seguridad, monitores para bebés y timbres “inteligentes”, los que convierte a todos estos dispositivos como vulnerables permitiendo el acceso a estos dispositivos y vulnerar con ello la privacidad al acceder a las imágenes principalmente desde internet.

Se estima que más de 2 millones de dispositivos vulnerables en Internet, incluidos los distribuidos por HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight y HVCAM principalmente. Sin embargo, cientos de otras marcas también utilizan iLnkP2P, lo que dificulta la identificación de los dispositivos vulnerables.

Si tengo alguna cámara de vigilancia, monitor de bebé u otro dispositivo de estas marcas, se recomienda revisar el número de serie especial conocido como UID , que normalmente se imprime en una etiqueta en algún lugar del dispositivo.

Tal como indica el investigador, un UID se verá como: FFFF-123456-ABCDE donde FFFF es el sufijo.

Se sabe que los dispositivos con los siguientes prefijos son vulnerables:

AYUDAAJTAVABSIPLEVA
CPTCAMCTWDFTDFZDINA
EEEEElsaESNESSest
FFFFGCMNGGGGGKWHDT
HHHHHHRXJHVCHWAAHZD
HZDAHZDBHZDCHZDNHZDX
HZDYHZDZIIIIIPCISRP
JWEVKSCMCIMCIHDMDI
MDIHDMEGMEYEMGAMGW
MICMICHDMMMMMSEMSEHD
MSIMSIHDMTEMTEHDMUI
MUIHDCORTARNIPHDNPCNTP
OBJOPCSOPMSPARPARC
PCSPHPPioPIPCAMPIX
PNPPSDPTPQHSVROSS
SIDsorboSXHTIOTSD
UIDVIOVSTDVSTFWBT
WBTHDWNSWNSCWXHWXO
XDBLXTSTZESZLDZSKJ
ZZZZ  

¿Cuáles son las posibles soluciones de tener alguno de estos dispositivos?

Lo recomendado es simplemente reemplazar el dispositivo o comprar uno nuevo de otra marca de confianza que no se vea afectada por este problema, ya que es improbable que los proveedores solucionen este fallo, y por lo general estos dispositivos tienen otros problemas de seguridad que ponen en riesgo a sus propietarios.

un par de fallos que tiene esta tecnología iLnkP2P:

CVE-2019-11219Vulnerabilidad de enumeración de iLnkP2P que permite a los atacantes descubrir los dispositivos que están en linea. Debido a la naturaleza P2P, un atacante puede conectarse directamente a un dispositivo sin pasar por las restricciones del cortafuegos.

CVE-2019-11220: Vulnerabilidad de autenticación en iLnkP2P que permite a los atacantes interceptar conexiones y realizar ataques Man-In-The-Middle, a través del cual se puede robar la contraseña y tomar el control.

Si no es posible desechar el dispositivo es posible neutralizar la funcionalidad P2P bloqueando el trafico saliente al puerto UDP 32100. Aunque eso solo evitará que se acceda desde redes externas, especialmente aquellos que se conectan leǵítimamente vía remota (a través de alguna aplicación que se conecta vía internet, por ejemplo), pudiéndose acceder solo desde la red local. 

Este tipo de casos nos demuestra que la ciberseguridad debe ser un elemento que sea incorporado por los fabricantes de dispositivos IoT, desarrolladores de aplicaciones y también para quienes compren estos productos, considerando que vulnerabilidad puedan afectan derechos como privacidad (y en estos casos más sensibles la intimidad de las personas) o puedan ser utilizadas para otros fines como ser puentes de ataques a distancia. La responsabilidad de tener medidas de ciberseguridad, por tanto, debe ser compartida por todos.

Deja un comentario