Más de 2 300 sistemas de acceso a edificios han podido ser secuestrados debido a una grave vulnerabilidad aún por solucionar.
La compañía SonicWall informó de que los atacantes buscan activamente en Internet dispositivos IoT de edificios inteligentes para emplearlos en ataques DDoS. Estos ataques estarían siendo dirigidos contra el producto Linear eMerge E3, de Nortek Security & Control (NSC).
Dichos dispositivos hardware, que se pueden categorizar como sistemas de control de acceso, están instalados en sedes corporativas, industrias y parques tecnológicos. Su misión principal consiste en gestionar el acceso a los espacios a los que están autorizados empleados y visitantes, mediante el uso de credenciales (códigos de acceso) o tarjetas inteligencias.
En mayo de 2019, los investigadores de la empresa de ciberseguridad Applied Risk, especializados en servicios de seguridad industrial, publicaron los detalles de diez vulnerabilidades (CVE-2019-7252 a CVE-2019-7265) que afectaban a los dispositivos Linear eMerge E3 de NSC. Entre ellas, vulnerabilidades que permitían la subida de archivos sin permiso, los ataques de XCS, la inyección de comandos o el escalado de privilegios, entre otros.
NSC fue incapaz de proporcionar los parches de seguridad necesarios pese a que el 60% de las vulnerabilidades identificadas tenían una puntuación de 9.8 a 10, sobre 10. En noviembre, Applied Risk lanzó una prueba de concepto del código de explotación.
Explotación de la CVE-2019-7256
Los investigadores de SonicWall han vuelto a publicar recientemente otro informe en el que advierten de escaneados de Internet en busca de dispositivos Linear eMerge E3 de NSC expuestos para usar alguna de las diez vulnerabilidades expuestas previamente.
La vulnerabilidad más popular parece ser la CVE-2019-7256, que permitiría realizar una inyección de comandos. Esta vulnerabilidad ha recibido una puntuación de severidad de 10, debido a que puede ser explotada a distancia, incluso por atacantes con pocos conocimientos técnicos. El problema estriba en que no se produce la suficiente depuración de las entradas proporcionadas por el usuario a una función PHP, permitiendo la ejecución de código arbitrario con permisos de administrador. Por lo que el atacante podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el contexto de una aplicación, a través de una petición HTTP convenientemente diseñada.
La estrategia de ataque consistiría en utilizar la CVE-2019-7256 para controlar los dispositivos, descargando e instalando el malware necesarios para lanzar posteriormente ataques DDoS contra sus objetivos. El primer ataque de este tipo fue detectado el 9 de enero de 2020 por la empresa de inteligencia Bad Packets (https://pastebin.com/ac5JYcJr). Desde entonces, se han identificado ataques similares con una frecuencia constante (https://twitter.com/bad_packets/status/1215529757099479040).
Desde Hispasec recomendamos que siempre se mantengan actualizados los sistemas y que se eviten las credenciales que vienen por defecto en los dispositivos. Asimismo, recomendamos el uso de firewal o VPN para limitar el acceso a los dispositivos más vulnerables.
Más información:
☛ El artículo completo original de Luciano Miguel Tobaría lo puedes ver aquí.
No hay comentarios.:
Publicar un comentario