A vulnerabilidade crítica de câmera de segurança IoT permite que os invasores assistam remotamente ao vivo – e tenham acesso às redes
Mandiant, CISA e ThroughTek divulgam uma vulnerabilidade em milhões de dispositivos que podem permitir que invasores assistam imagens de câmeras ao vivo, criem botnets ou usem dispositivos hackeados como um trampolim para novos ataques.
Vulnerabilidades de segurança em milhões de dispositivos da Internet das Coisas (IoT), incluindo câmeras de segurança conectadas, monitores de bebê inteligentes e outros equipamentos de gravação de vídeo digital, podem permitir que invasores cibernéticos comprometam dispositivos remotamente, permitindo que assistam e ouçam feeds ao vivo, bem como comprometer credenciais para preparar o terreno para novos ataques.
As vulnerabilidades em dispositivos IoT que usam a rede ThroughTek Kalay foram divulgadas pela empresa de segurança cibernética Mandiant em coordenação com a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e a ThroughTek.
É rastreado como CVE-2021-28372 e carrega uma pontuação do Common Vulnerability Scoring System (CVSS) de 9,6 – classificando-o como uma vulnerabilidade crítica. Atualizar para a versão mais recente do protocolo Kalay (3.1.10) é altamente recomendado para proteger dispositivos e redes de ataques.
Embora a Mandiant não tenha sido capaz de compilar uma lista abrangente de todos os dispositivos afetados, os próprios números do ThroughTek sugerem que 83 milhões de dispositivos conectados estão conectados através da rede Kalay.
Pesquisas anteriores da Nozomi Networks também encontraram vulnerabilidades no ThroughTek, mas as novas vulnerabilidades divulgadas pela Mandiant são separadas e permitem que invasores executem códigos remotos em dispositivos.
Os pesquisadores conseguiram combinar as bibliotecas de dissimulação do ThroughTek por meio de aplicativos oficiais da Google Play Store e da Apple App Store com o desenvolvimento de uma implementação totalmente funcional do protocolo Kalay da ThroughTek. Isso permitiu que ações importantes fossem executadas, incluindo descoberta de dispositivo, registro de dispositivo, conexões de cliente remoto, autenticação e processamento de dados de áudio e vídeo (AV).
Ao escrever uma interface para criar e manipular solicitações e respostas Kalay, os pesquisadores podem identificar vulnerabilidades de lógica e fluxo no protocolo Kalay – mais notavelmente, a capacidade de identificar e registrar dispositivos de uma forma que permite que os invasores os comprometam.
Os invasores conseguem isso obtendo um identificador atribuído exclusivamente a um dispositivo cliente habilitado para Kalay, que pode ser descoberto por meio de APIs da web, como aplicativos móveis. Depois de obter o UID de um dispositivo, eles podem registrá-lo, o que faz com que os servidores Kalay sobrescrevam o dispositivo existente, direcionando as tentativas de conexão ao dispositivo para o caminho do invasor.
Ao fazer isso, os invasores podem obter o nome de usuário e a senha necessários para acessar o dispositivo, que podem então usar para acessá-lo remotamente – completo com a capacidade de monitorar dados de áudio e vídeo em tempo real.
“Depois que um invasor obteve UIDs, ele pode redirecionar as conexões do cliente para si mesmo e obter materiais de autenticação para o dispositivo. A partir daí, um invasor pode assistir ao vídeo do dispositivo, ouvir o áudio do dispositivo e, potencialmente, comprometer ainda mais o dispositivo, dependendo da funcionalidade do dispositivo”, Erik Barzdukas, gerente de serviços proativos da Mandiant Consulting, disse à ZDNet.
Isso não é apenas uma violação massiva de privacidade para os usuários, especialmente se as câmeras e monitores estiverem instalados em suas próprias casas, mas os dispositivos comprometidos em configurações corporativas podem permitir que invasores bisbilhotem discussões e reuniões confidenciais, potencialmente fornecendo-lhes meios adicionais de comprometimento redes.
Também existe a possibilidade de os dispositivos serem recrutados para um botnet e usados para conduzir ataques DDoS .
“Esta vulnerabilidade pode permitir a execução remota de código no dispositivo da vítima, que pode ser usado de forma mal-intencionada de várias maneiras, como a criação de um botnet a partir dos dispositivos vulneráveis ou outros dispositivos de ataque na mesma rede do dispositivo da vítima “, disse Barzdukas.
Explorar CVE-2021-28372 é complexo e exigiria tempo e esforço de um invasor. Mas isso não torna isso impossível, e a vulnerabilidade ainda é considerada crítica pela CISA.
A Mandiant está trabalhando com fornecedores que usam o protocolo Kalay para ajudar a proteger os dispositivos da vulnerabilidade e recomenda que, independentemente do fabricante, os usuários de IoT apliquem regularmente patches e atualizações aos dispositivos para garantir que estejam protegidos contra vulnerabilidades conhecidas.
“Independentemente de você possuir um dos dispositivos afetados, a Mandiant recomenda fortemente que os consumidores e empresas com dispositivos inteligentes mantenham seus dispositivos e aplicativos atualizados”, disse Barzdukas.
“Os consumidores e as empresas precisam reservar um tempo – pelo menos uma vez por mês – para verificar se seus dispositivos inteligentes têm alguma atualização para instalar”, acrescentou.
ZDNet tentou contatar ThroughTek, mas não recebeu uma resposta no momento da publicação. No entanto, a divulgação de segurança da Mandiant agradece à ThroughTek – e à CISA – “tanto por sua cooperação e suporte com o lançamento deste aviso quanto pelo compromisso de proteger dispositivos IoT globalmente”.
Fonte: https://www.zdnet.com/
