Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.
¿Que ha pasado?
Varias vulnerabilidades críticas se han descubierto en algunos 400 modelos de cámaras Axis. Las fallas podrían permitir a los hackers tomar el control total de la cámara afectada o se enredan en redes de bots. VDOO investigadores desenterraron las vulnerabilidades que podrían verse comprometidas a través de la dirección IP de la cámara. Como resultado hackers podrían espiar a todos los registros de audio o vídeo.
La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listado de los modelos afectados. (lo compartimos abajo del blog)
¿Cuales son las vulnerabilidades y como puede afectar?
Hay tres vulnerabilidades que se pueden encadenar para hackear de forma remota un dispositivo. Estos permiten a un atacante eludir la autenticación, enviar solicitudes especialmente diseñadas e inyectar comandos arbitrarios. En su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación.
La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
Acceder a la transmisión de vídeo.
Bloquear la transmisión de vídeo.
Tomar el control de la cámara para activarla/desactivarla o rotarla.
Añadir la cámara a una botnet.
Alterar o cambiar el firmware de la cámara.
Utilizar la cámara para infiltrarse en la red.
Inutilizar la cámara.
Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Afortunadamente, los investigadores han informado de que las diversas vulnerabilidades no han sido explotados en la naturaleza, como mínimo a lo mejor de sus conocimientos. En otras palabras, los defectos no han conducido a ninguna violación de la privacidad o de otra amenaza a la seguridad.
Antes de que saliera la publicación, se notifico a los clientes sobre los productos afectados y el vendedor Eje tomo las acciones respectivas.
Eje ya ha sido notificado de las vulnerabilidades y han lanzado firmware actualizado para todos los productos afectados dos meses antes de la investigación fue publicada. Eje recomienda encarecidamente a los usuarios finales para actualizar el firmware de los productos de Axis afectadas de una manera controlada. A un costo eficiente desplegar el firmware actualizado, Eje recomienda el uso de la herramienta de eje Administrador de dispositivos, que supervisará continuamente y notificar de firmware disponible.
Más Información
VDOO Discovers Significant Vulnerabilities in Axis Cameras:
https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilities-in-axis-cameras/
Affected Product List:
https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf