Dos conocidas cámaras IP están plagadas de vulnerabilidades

Dos cámaras de seguridad IP para el mercado de consumidores, fabricadas por Loftek y VStarcam, se encuentran plagadas de casi dos docenas de vulnerabilidades que las exponen a ataques remotos. Según las investigaciones, más de 1,3 millones de estas cámaras están actualmente en uso en todo el mundo, 200.000 de ellas en los EE.UU.

De acuerdo con un informe de Checkmarx publicado el martes, los modelos Loftek DSS-2200 y VStarcam C7837WIP permiten que un usuario malicioso las explote fácilmente, y no sólo eso, sino que puede reclutarlas para redes zombi DDoS, y también controlar otros dispositivos que comparten la misma red.

Checkmarx dijo que los problemas identificados en las cámaras Loftek y VStarcam son similares a los que afectan a otras cámaras IP inseguras. El resultado de esta investigación es una advertencia sobre los problemas de propagación presentes en cámaras inseguras que se convierten en terreno fértil para hackers y programas IoT maliciosos destructivos como Mirai.

Los investigadores señalaron que tan pronto como empezaron a investigar las cámaras Loftek y VStarcam, ambas de fabricación china, vieron señales de peligro.

“Al finalizar nuestros escaneos iniciales, llegamos a la conclusión de que si tu cámara (Loftek o VStarcam) está conectada, sin duda alguna estás en riesgo. Es así de simple”, anotaron los investigadores de Checkmarx.

Entre las vulnerabilidades obvias se encontraban credenciales cifradas, la imposibilidad de actualizar el firmware, la falta de soporte para HTTPS y un puerto Telnet indocumentado en la cámara VStarcam.

La falta de soporte HTTPS es ya malo de por sí, señaló Amit Ashbel, evangelista de ciberseguridad en Checkmarx. Añadió que la vulnerabilidad por sí misma permite que un atacante envíe una clara petición GET de texto a la cámara con distintos comandos para penetrar en el dispositivo.

“(Entre las peticiones GET) figura la habilidad de crear nuevos usuarios. Puesto que las contraseñas de administrador no necesitan cambiarse, es muy posible que funcione la contraseña predeterminada de fábrica”, agregó. Esto permite que el atacante cree un segundo usuario con privilegios de administrador mientras mantiene la contraseña y el usuario del administrador original, logrando evitar así cualquier sospecha.

Ambas cámaras también son vulnerables a una serie de problemas, como la falsificación de peticiones cross-site, fallas en codificación XXS guardadas, falsificación de peticiones del lado del servidor y errores de división en respuestas HTTP. En total se comprobaron y confirmaron 21 exploits.

Los principales generadores de inseguridad, según los investigadores, eran dos tipos de programas usados en ambos dispositivos: Netwave y GoAhead, desarrollados en China.

“Intentamos contactar a ambos fabricantes de cámaras para poder coordinar una solución. Ninguno nos respondió”, sentenció Ashbel.

Asimismo, añadió que una amplia variedad de fabricantes chinos de cámaras utilizan hardware y software muy similar en sus cámaras. “Nos dimos cuenta de que muchas cámaras IP inalámbricas en el mercado, especialmente las más baratas que se encuentran a la venta en sitios populares, utilizan firmware Netwave y GoAhead”, puntualizaron.

A pesar de los 1,3 millones de dispositivos en uso, ya no se venden estas cámaras. Sin embargo, en posteriores escaneos de Internet con el motor de búsqueda Shodan, encontramos otros modelos de cámaras que también utilizaban el mismo firmware vulnerable: Foscam, Advance, Wanscan, Apexis, Visioncam, Eshine y EyeSight.

“Es posible un escenario en el que un atacante utilice la configuración de cualquiera de las cámaras para realizar envíos de correo spam o para saturar la bandeja de entrada del correo de la víctima. Con un sencillo código, un atacante podría lanzar un ataque con poco o ningún esfuerzo”, resalta el informe.

“Las cámaras son vulnerables por defecto, y especialmente la Loftek 2200, que podría utilizarse como puerta trasera en tu red. Realmente vale la pena gastar un poco más en una cámara más segura”, concluyó Ashbel.

Fuente: Threatpost