Un popular intercomunicador inteligente y videoteléfono de la compañía china Akuvox, el E11, está plagado de más de una docena de vulnerabilidades, incluido un error crítico que permite la ejecución remota de código (RCE) sin autenticar.
Estos podrían permitir que actores maliciosos accedan a la red de una organización, roben fotos o videos capturados por el dispositivo, controlen la cámara y el micrófono, o incluso bloqueen o abran puertas.
Las vulnerabilidades fueron descubiertas y destacadas por la empresa de seguridad Team82 de Claroty, que se dio cuenta de las debilidades del dispositivo cuando se mudaron a una oficina donde ya se había instalado el E11.
La curiosidad de los miembros de Team82 sobre el dispositivo se convirtió en una investigación en toda regla cuando descubrieron 13 vulnerabilidades, que dividieron en tres categorías según el vector de ataque utilizado.
Los primeros dos tipos pueden ocurrir a través de RCE dentro de la red de área local o la activación remota de la cámara y el micrófono del E11, lo que permite al atacante recopilar y extraer grabaciones multimedia. El tercer vector de ataque tiene como objetivo el acceso a un servidor de protocolo de transferencia de archivos (FTP) externo e inseguro, lo que permite al actor descargar imágenes y datos almacenados.
Un error crítico de RCE en el Akuvox 311
En cuanto a los errores que más se destacan, una amenaza crítica: CVE-2023-0354, con una puntuación CVSS de 9.1, permite acceder al servidor web E11 sin ninguna autenticación de usuario, lo que podría facilitar el acceso de un atacante a información confidencial.
“Se puede acceder al servidor web Akuvox E11 sin ninguna autenticación de usuario, y esto podría permitir que un atacante acceda a información confidencial, así como crear y descargar capturas de paquetes con URL predeterminadas conocidas”, según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) , que publicó un aviso sobre los errores, incluido un descripción general de la vulnerabilidad.
Otra vulnerabilidad de la nota (CVE-2023-0348, con una puntuación CVSS de 7.5) se refiere a la aplicación móvil SmartPlus que los usuarios de iOS y Android pueden descargar para interactuar con el E11.
El problema central radica en la implementación de la aplicación del Protocolo de inicio de sesión (SIP) de código abierto para permitir la comunicación entre dos o más participantes a través de redes IP. El servidor SIP no verifica la autorización de los usuarios de SmartPlus para conectarse a un E11 en particular, lo que significa que cualquier persona con la aplicación instalada puede conectarse a cualquier E11 conectado a la Web, incluidos aquellos ubicados detrás de un firewall.
“Probamos esto usando el intercomunicador en nuestro laboratorio y otro en la entrada de la oficina”, según el informe de Claroty. “Cada intercomunicador está asociado con diferentes cuentas y diferentes partes. De hecho, pudimos activar la cámara y el micrófono haciendo una llamada SIP desde la cuenta del laboratorio al intercomunicador de la puerta”.
Las vulnerabilidades de seguridad de Akuvox siguen sin parchear
Team82 describió sus intentos de llamar la atención de Akuvox sobre las vulnerabilidades, a partir de enero de 2022, pero después de varios intentos de divulgación, se bloqueó la cuenta de Claroty con el proveedor. Posteriormente, Team82 publicó un blog técnico que detalla las vulnerabilidades de día cero e involucró al Centro de Coordinación CERT (CERT/CC) y CISA.
Se recomienda a las organizaciones que utilizan el E11 que lo desconecten de Internet hasta que se corrijan las vulnerabilidades o que se aseguren de que la cámara no sea capaz de grabar información confidencial.
Dentro de la red de área local, "se recomienda a las organizaciones segmentar y aislar el dispositivo Akuvox del resto de la red empresarial", según el informe de Claroty. “El dispositivo no solo debe residir en su propio segmento de red, sino que la comunicación con este segmento debe limitarse a una lista mínima de puntos finales”.
Abundan los errores en las cámaras y los dispositivos IoT
Un mundo de dispositivos cada vez más conectados ha creado una amplia superficie de ataque para adversarios sofisticados.
Se espera que la cantidad de conexiones industriales de Internet de las cosas (IoT), una medida de la cantidad total de dispositivos IoT implementados, se duplique con creces a 36.8 millones en 2025, frente a los 17.7 millones en 2020. según Juniper Research.
Y aunque el Instituto Nacional de Estándares y Tecnología (NIST) se ha decidido por un estándar para encriptación de comunicaciones IoT, muchos dispositivos siguen siendo vulnerables y sin parches.
Akuvox es el último de una larga lista de estos que presentan graves deficiencias en lo que respecta a la seguridad de los dispositivos. Por ejemplo, se detectó una vulnerabilidad RCE crítica en las cámaras de video IP de Hikvision. divulgado el año pasado.
Y el pasado mes de noviembre, una vulnerabilidad en una serie de populares porteros digitales ofrecidos por Aiphone permitió a los piratas informáticos romper los sistemas de entrada — simplemente utilizando un dispositivo móvil y una etiqueta de comunicación de campo cercano (NFC).
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/unpatched-zero-day-bugs-smart-intercom-remote-eavesdropping
