martes, 16 de octubre de 2018

Brecha de seguridad en más de 9 millones de cámaras de CCTV



El fabricante chino de cámaras de vigilancia Xiongmai acusado de dejadez por no mejorar el sistema de seguridad de las cámaras que fabrica.
CCTV son las siglas en inglés de “closed circuit televisión” que traducido al español es “circuito cerrado de televisión”, consiste en una o más cámaras de vigilancias conectadas a uno o más monitores de video o televisores que reproducen las imágenes transmitidas por las cámaras.

Otro proveedor de dispositivos IoT se añade a la lista de aquellos que están exponiendo sus productos a atacantes por fallas de seguridad básicas.

Esta vez, es el fabricante chino de cámaras de vigilancia Xiongmai acusado por investigadores de SEC Consult por la poca seguridad en el servicio XMEye P2P Cloud. Entre los problemas que los investigadores señalaron, cabe destacar que se expusieron las credenciales predeterminadas y las actualizaciones de firmware sin firmar que podrían entregarse a través del servicio.

Como resultado, advierte SEC Consult, las cámaras podrían ser utilizadas por atacantes para  espiar a sus propietarios, llevar a cabo instrucciones de botnets e incluso servir como punto de entrada para intrusiones de red más grandes.

"Nuestra recomendación es que dejemos de usar los dispositivos OEM Xiongmai y Xiongmai por completo", recomendó SEC Consult. "La compañía tiene una mala trayectoria de seguridad, incluida su función en Mirai y otras varias redes de bots de IoT. Existen vulnerabilidades que se publicaron en 2017, que aún no están corregidas en la versión más reciente del firmware".

Habilitado de forma predeterminada, el servicio P2P Cloud permite a los usuarios conectarse de forma remota a dispositivos mediante un navegador web o una aplicación iOS / Android y controlar el hardware sin necesidad de una conexión de red local.

Desafortunadamente, según explicó SEC Consult, las deficiencias tanto en los dispositivos como en el servicio, como las conexiones no cifradas y las contraseñas predeterminadas (los propietarios no tienen que cambiar los valores predeterminados al configurar el dispositivo) significan que, en muchos casos, la vulnerabilidad de la cámara podría usarse como trampolín para atacar sistemas superiores.

Además, según las notas de la SEC Consult, los dispositivos Xiongmai no requieren que las actualizaciones de firmware estén firmadas, lo que significa que un atacante podría instalar actualizaciones de firmware cargadas de malware para crear una red de bots o realizar más ataques en la red local.

"Esto es posible ya sea modificando los sistemas de archivos, contenidos en una actualización de firmware, o modificando el archivo InstallDesc”, que es un archivo de texto que contiene comandos que se ejecutan durante la actualización, explican los investigadores.

Además, SEC Consult acusa a Xiongmai de ignorar las advertencias de seguridad y de no tomar las precauciones básicas.

No hay comentarios:

Publicar un comentario