No hace demasiado se ha descubierto la existencia de un agujero se seguridad que hace que gran cantidad de cámaras IP y sistemas de vigilancia usados en redes empresariales sean vulnerables a la ejecución remota de código y a la fuga de información. Hablamos de CVE-2021-28372, una vulnerabilidad en el kit de desarrollo de software (SDK) P2P ThroughTek Kalay integrado que es utilizado por muchos de estos dispositivos.
Su existencia pone de manifiesto un problema que suele ser común en el ámbito del Internet de las Cosas: las vulnerabilidades en las tecnologías integradas de terceros, muchas de las cuales no se mantienen de forma continua o usan software heredado, pueden hacer que los dispositivos IoT sean vulnerables a su vez.
La división Unit 42 de Palo Alto Networks dedica un post a la citada vulnerabilidad. Según cuenta el equipo de investigadores, su descubrimiento se dio en agosto del año pasado. Su puntuación CVSS es bastante alta: nada menos que un 9,6.
Los atacantes pueden aprovechar esta vulnerabilidad para hacerse pasar por un dispositivo que ejecuta el SDK de ThoughTek Kalay mediante el uso de un identificador único de 20 bits. Esto permitiría a un atacante malintencionado secuestrar la conexión de una víctima, extraer credenciales del tráfico y obtener acceso no autorizado a información confidencial.
Este SDK está integrado en un amplio espectro de dispositivos IoT, principalmente en cámaras IP, pero también en cámaras de vídeo, timbres inteligentes y hasta en vigilabebés. Igualmente, se puede encontrar en robots inteligentes, routers, dispositivos de almacenamiento NAS y electrodomésticos. Además, se usa en varias aplicaciones móviles y de escritorio en dispositivos de usuarios finales.
Según ThroughTek Kalay, su SDK estaría presente en 86 millones de dispositivos online y realiza más de 1.100 millones de conexiones mensuales a sus servidores en la nube.
La mayoría de gadgets que usan el kit de desarrollo de software vulnerable están asociados con transmisiones de audio y vídeo en tiempo real. Así, un ataque exitoso podría llegar a filtrar un vídeo o audio privado y provocar la falsificación del dispositivo o el secuestro de su certificado.
El consumidor desconoce estas conexiones
La plataforma TroughTek Kalay en este caso ofrece funcionalidades de conexión P2P, la cual se usa para la comunicación entre cámaras IP, el intercambio API (interfaz de programación de aplicaciones entre cámaras IP y servidores y para evitar tener un único punto de falla al facilitar que los dispositivos se conecten a múltiples servidores.
Sin embargo, esto presenta varias cosas preocupantes. Un consumidor que compra un producto de un proveedor específico no espera ni tiene conocimiento de que su tráfico se envíe a este tipo de servidores internacionales a través de un tercero.
Unit 42 ha investigado el tráfico de red subyacente que hace que el dispositivo sea vulnerable a CVE-2021-28372, poniendo de relevancia un problema mayor en los dispositivos IoT en general. Un producto comprado a un proveedor específico establece conexiones a Internet con sitios web de terceros o destinos internacionales, a menudo sin que el consumidor lo sepa.
Debido a que la vulnerabilidad es parte de un componente integrado del dispositivo, tales conexiones y vulnerabilidades subyacentes a menudo no están expuestas al usuario. Este problema se ha amplificado en los últimos tiempos a través de varias vulnerabilidades expuestas que afectan la cadena de suministro de dispositivos IoT. Así los clientes deberían tener una visibilidad completa de los dispositivos en su red, el tráfico que generan y cualquier riesgo de seguridad subyacente asociado con él.
"Los diversos componentes subyacentes presentan un problema de iceberg oculto, donde los consumidores conocen la punta del iceberg pero una gran parte está oculta y, por lo tanto, es desconocida para el consumidor. Por ejemplo, si un dispositivo específico no tiene vulnerabilidades de proveedores conocidas, muchos clientes asumen que el dispositivo es seguro", explican desde Unit 42.
"Sin embargo, puede haber problemas más profundos que solo pueden entenderse al monitorizar el tráfico y las conexiones realizadas por el dispositivo, como es el caso del CVE relacionado con el SDK de ThroughTek Kalay. Todos estos componentes, mientras contribuyen a la funcionalidad general del dispositivo, aumentan las posibilidades de que el dispositivo sea atacado por actores maliciosos y exponen la red a riesgos", añaden.