José Antonio Sánchez Ahumada, director de ventas para España y Portugal en Claroty, ha concedido una entrevista Escudo Digital a la que, antes de dar paso, conviene poner sobre la mesa sus antecedentes. El primer paso lo dio la propia compañía, especializada en la protección de sistemas de ciberseguridad online y físicos, al remitirnos una información que, como medio de seguridad, nos interesó y sobre la que quisimos ahondar. Se trataba de las vulnerabilidades que presentan los "telefonillos inteligentes", un problema mucho más presente en nuestro día a día de lo que podemos imaginar.
Las vulnerabilidades de los "telefonillos inteligentes" dejan al descubierto la privacidad de los usuarios
Así se titulaba la nota de prensa de Claroty, en la que sacó a la luz que su equipo de investigación, Team82, ha detectado 13 vulnerabilidades en el telefonillo inteligente de Akuvox 13 que califica como "fallos graves y violaciones de la privacidad tanto para las organizaciones como para los usuarios particulares afectados".
Según advierte, estas brechas de seguridad podrían permitir a los ciberatacantes ejecutar código de forma remota con el fin de activar y controlar la cámara y el micrófono del intercomunicador, robar vídeo e imágenes, o conseguir un punto de entrada en la red. Además, avisa que dichas vulnerabilidades pueden ser explotadas por medio de tres vectores de ataque principales:
- Ejecución remota de código: dos de las vulnerabilidades encontradas –falta de autenticación para una función crítica (CVE-2023-0354), y una vulnerabilidad de inyección de comandos (CVE-2023-0351)– pueden encadenarse para ejecutar código de forma remota en la red local. Si un dispositivo con brechas de seguridad se expone a internet, un atacante puede utilizar estos fallos para hacerse con el control del dispositivo, ejecutar código arbitrario y, posiblemente, desplazarse lateralmente en la red de la empresa. Según indica Akuvox en su página web, estos dispositivos son la primera línea de defensa en residencias de ancianos, almacenes, edificios de apartamentos, aparcamientos, centros médicos e incluso viviendas unifamiliares.
- Abrir la cámara de forma remota: otra vulnerabilidad (CVE-2023-0348) puede aprovecharse para activar remotamente la cámara y el micrófono sin autenticación, y transmitir los datos al atacante. En organizaciones sensibles a la privacidad, como los centros de salud, esto puede hacer peligrar la privacidad del paciente y ocasionar grandes fallos en el sistema.
- Recopilar imágenes activadas por movimiento de todos los interfonos: en este escenario, como la cámara del portero automático se activa con el movimiento, se toman imágenes y se suben a un servidor de almacenamiento de archivos FTP externo e inseguro. Las imágenes están disponibles durante un periodo de tiempo definido en el servidor antes de ser borradas periódicamente. En este intervalo de tiempo, un atacante podría descargar imágenes de los interfonos de Akuvox operativos en cualquier lugar del mundo.
En el comunicado, Claroty también destaca que en enero de 2022 notificó estas vulnerabilidades a Akuvox a través de la apertura de varios tickets de soporte, pero que la compañía, de origen chino, no solo los cerró inmediatamente sino que también bloqueó la cuenta de Claroty, exactamente el 27 de enero de 2022.
"El dispositivo, el Akuvox E11, sigue sin parches después de muchos intentos infructuosos de contactar y coordinar la divulgación con el proveedor chino, líder mundial en intercomunicadores inteligentes basados en SIP", apunta la empresa de protección de sistemas de ciberseguridad online y físicos.
"La digitalización es una gran aliada, pero puede convertirse en una gran amenaza"
Para profundizar más en el tema y responder las dudas que nos surgieron con la información de la nota de prensa, entrevistamos a José Antonio Sánchez Ahumada, director de ventas para España y Portugal en Claroty.
¿Consideran que las vulnerabilidades detectadas en Akuvox 13 son impropias e inusuales en este tipo de dispositivos de seguridad?
Lamentablemente las brechas de seguridad no afectan solamente a los telefonillos inteligentes de Akuvox 13. No son ni impropias, ni inusuales. La digitalización es una gran aliada, pero puede convertirse en una gran amenaza. Cada vez son más las herramientas que los ciberdelincuentes tienen a su disposición, por lo que es más necesario fortalecer las medidas de protección. Las violaciones de la privacidad aumentan en función de los posibles vectores de ataque, que van desde la ejecución remota de código y al acceso remoto a la cámara, hasta la recopilación de imágenes activadas por movimiento de todos los interfonos.
¿Cuáles son los riesgos que suponen para sus usuarios tanto desde el punto de vista de la ciberseguridad como a nivel de seguridad física? ¿Hasta qué limite pueden llegar estos riesgos para particulares y para organizaciones?
Para definir los riesgos, lo primero que debemos tener en cuenta es que no sólo pueden ser económicos, sino que son capaces de dañar notablemente la reputación de una compañía. Cualquier empresa TI que quiera garantizar un servicio profesional y seguro debe cerciorarse de que este no se interrumpe en ningún momento. Y, en caso de sufrir un ataque que ponga en un compromiso ese servicio, debe actuar de inmediato para que los daños no sean irreparables. Además, deben cerrar esa brecha lo antes posible para no poner en peligro la seguridad física de los usuarios, ya que los atacantes –como en el caso de Akuvox– pueden llegar a descargar imágenes de los interfonos desde cualquier lugar. De esta manera, se comprometería enormemente la privacidad de los usuarios.
"Los ciberatacantes han alcanzado un nivel de conocimiento impresionante, y cada vez se apoyan en más herramientas para llevar a cabo un ataque exitoso"
¿Qué nivel de dificultad entraña para los ciberatacantes la explotación de este tipo de brechas de seguridad? ¿Y qué ventajas puede acarrearles?
Como decía antes, los ciberatacantes han alcanzado un nivel de conocimiento impresionante, y cada vez se apoyan en más herramientas para llevar a cabo un ataque exitoso. Cuando lo consiguen, se apropian de datos sensibles y es entonces cuando piden un rescate a cambio de devolver esos datos privados. Entonces, muchas organizaciones se ven obligadas a pasar por el aro y pierden una cuantía económica importante. En muchas ocasiones no tienen más opción, porque la privacidad de sus clientes va por delante de todo. Este tipo de ciberataque es el que todos conocemos como ransomware, que aprovecha una vulnerabilidad presente en los dispositivos para entrar en el sistema. Y una vez que tienen la información, pueden hacer con ella lo que quieran: pedir un rescate, venderla a terceros, etc.
¿Hay alguna norma que obligue a las empresas a reparar rápidamente las vulnerabilidades que se detecten en sus productos? ¿Y que las sancione por las mismas? ¿Cómo es la normativa que regula estos casos?
Según el sector del que estemos hablando, existen diferentes normas o regulaciones que tienen que cumplir. El incumplimiento de estas normativas puede llevar sanciones económicas. Estas sanciones superan muchas veces con creces el coste que tiene el implementar soluciones de ciberseguridad que ayuden a evitar situaciones no deseadas relacionadas con vulnerabilidades o puntos débiles del equipamiento del cliente. Tenemos que concienciar a los clientes y a los usuarios finales sobre el cumplimiento de estas normativas así como de las consecuencias de no hacerlo.
"Nuestro trabajo esté hecho. ¿Por qué Akuvox no ha respondido? Eso no lo podemos resolver"
¿A qué creen que se debe la falta de reacción por parte de Akuvox a la hora de corregir estos fallos de ciberseguridad? ¿Se podría sospechar que la compañía tiene algún interés en no corregirlas o incluso pueda estar alineada con ciberdelincuentes u otros atacantes?
Nosotros hemos revelado los fallos de su sistema y se los hemos comunicado para que puedan subsanar el problema. Nuestro trabajo está hecho. ¿Por qué no han respondido? Es una pregunta que no podemos resolver. No tenemos esa información y no podemos hacer suposiciones.
¿Quiere hacer alguna reflexión o cualquier comentario adicional?
Nuestra vocación y pasión es ayudar a nuestros clientes en el camino hacia un estado de ciberseguridad adecuado a la situación actual en la que cualquier dispositivo puede ser un punto de ataque o de entrada para atacar otros sistemas. Equipamiento IT, OT, IoT, xIoT, dispositivos de entornos médicos/hospitalarios, etc. Cualquiera de estos dispositivos puede ser utilizado por los atacantes. Por ello siempre recomendamos no olvidar ningún dispositivo y contar con soluciones que permitan obtener visibilidad sobre todo lo que está conectado en las dependencias de nuestros clientes, hacer un análisis de Riesgo y hacer recomendaciones sobre cómo poder reducir el nivel de riesgo de la compañía.
Medidas de seguridad ante los fallos de los telefonillos de Akubox
Frente a las 13 vulnerabilidades detectadas en los telefonillos inteligentes de Akubox, el comunicado de Claroty ofrece las tres medidas de seguridad que recomiendan aplicar sus expertos de Team82 para mantenerse protegido en caso de contar con uno de estos dispositivos:
- Evitar la exposición a Internet: asegurarse de que el dispositivo Akuvox de una organización no esté expuesto a Internet para cerrar el actual vector de ataque remoto disponible para los ciberdelincuentes. Sin embargo, los administradores probablemente perderían su capacidad de interactuar de forma remota con el dispositivo a través de la aplicación móvil SmartPlus.
- Aislar el dispositivo: dentro de la red de área local, Team82 aconseja a las organizaciones que segmenten y aíslen el dispositivo Akuvox del resto de la red de la empresa. Esto evita cualquier movimiento lateral que un ciberdelincuente con acceso al dispositivo pudiera obtener. El dispositivo no sólo debe residir en su propio segmento de red, sino que la comunicación debe limitarse a una lista acotada de endpoints. Además, sólo deben abrirse los puertos necesarios para configurar el dispositivo; también se recomienda deshabilitar el puerto UDP 8500 para el tráfico entrante, ya que el protocolo de descubrimiento del dispositivo no es necesario.
- Cambiar la contraseña: por último, es aconsejable modificar la contraseña predeterminada que protege la interfaz web. Inicialmente la clave predeterminada es débil y está incluida en la documentación del dispositivo, que está a disposición del público.