Ha habido un fuerte aumento en los escaneos de los sistemas Nortek Linear Emerge E3 vulnerables, dice SonicWall.
Los atacantes están tratando activamente de explotar una falla de inyección de comando crítica previamente divulgada en un Por sistema de control de acceso de Nortek Security and Control LLC para usar el dispositivo para lanzar ataques distribuidos de denegación de servicio (DDoS).
SonicWall, que informó sobre la amenaza el sábado, dijo que sus investigadores han observado a los atacantes escanear todo el espacio de rango de direcciones IPv4 para los sistemas vulnerables en los últimos días. Según el proveedor de seguridad, sus firewalls han estado bloqueando literalmente decenas de miles de visitas diarias de unas 100 direcciones IP en todo el mundo que están escaneando.
La vulnerabilidad de inyección de comando [CVE-2019-7256] existe en productos de la familia de controladores de acceso Linear eMerge E3 Series de Nortek que ejecutan versiones anteriores de un firmware en particular. Los controladores de acceso permiten a las organizaciones especificar las puertas que el personal y otras personas pueden usar para entrar y salir de las áreas designadas dentro de un edificio o instalación, en función de sus derechos de acceso.
Las organizaciones en múltiples industrias actualmente usan los controladores de acceso de Nortek, incluidos el sector comercial, industrial, bancario, médico y minorista.
La falla de inyección se encontraba entre varias vulnerabilidades en la familia Linear eMerge E3 Series de Nortek que la firma de ciberseguridad industrial Riesgo Aplicado divulgado en mayo de 2019. La compañía en ese momento describió la falla como permitir a los atacantes ejecutar comandos de su elección directamente en el sistema operativo.
La falla tiene un puntaje CVSS de 10, que es la calificación de gravedad máxima posible para cualquier vulnerabilidad. El problema se considera especialmente peligroso porque permite que un atacante no autenticado obtenga un control remoto completo del sistema.
De acuerdo con una descripción de la falla en Detalles de CVE, la falla permite la divulgación completa de información, el compromiso total de la integridad del sistema y el compromiso completo de la disponibilidad del sistema. También se considera relativamente fácil de explotar sin condiciones de acceso especializadas o circunstancias atenuantes requeridas para explotar la falla.
El riesgo aplicado describió a Nortek como consciente del problema pero no emitió un parche para ello. Así que en noviembre lanzó código de prueba de concepto demostrando cómo un atacante podría aprovechar la vulnerabilidad para tomar el control completo de un sistema vulnerable. Un portavoz de SonicWall dice que un parche para el problema todavía no parece estar disponible.
Ataques DoS y más
Nortek no respondió de inmediato a una solicitud de comentarios enviada a su dirección de correo electrónico de consulta de servicio al cliente general.
En un reporte El sábado, SonicWall dijo que los atacantes han estado tratando de explotar la vulnerabilidad utilizando una solicitud HTTP específica. Una vez explotados, los comandos de shell se utilizan para descargar malware para realizar varios tipos de ataques de denegación de servicio, dijo el proveedor.
Además de lanzar ataques DDoS desde dispositivos explotados con la vuln, los malos actores pueden explotar la falla de otras maneras, dice la portavoz de SonicWall. Los defectos de inyección de comandos del sistema operativo brindan a los atacantes una forma de comprometer otras partes de la infraestructura, señala. "Dado que el atacante puede descargar y ejecutar código en los sistemas de destino, hipotéticamente los 'posee'".
SonicWall citó a Riesgo Aplicado como una estimación de la cantidad de sistemas eMerge E3 vulnerables con acceso a Internet en alrededor de 2,375. Pero las vulnerabilidades reveladas en el informe de Riesgo Aplicado potencialmente afectan a miles de dispositivos más, dice el portavoz de SonicWall. "Además, se podrían filtrar más de cuatro millones de registros de identificación personal que revelen información como nombres o direcciones de correo electrónico de personas que poseen tarjetas para estas cerraduras", señala.
Las organizaciones con estos controladores de puerta para sus edificios pueden tomar un par de medidas para mitigar su exposición. El primero es garantizar que los controladores vulnerables no sean accesibles a través de Internet ni que se puedan descubrir a través de motores de búsqueda como Shodan, dice el portavoz de SonicWall.
Las organizaciones también deberían segmentar el acceso a los controladores vulnerables desde las redes internas. "Una persona aleatoria dentro de la empresa no debe estar en la misma red que los controladores", señala. También deberían considerar el uso de sistemas IPS para parchear virtualmente contra los exploits hasta que haya una solución disponible, dice.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años ... Ver Biografía completa
Más Información
