Descubren vulnerabilidades críticas en cámaras de videovigilancia de bebés, así como en la infraestructura Victure Cloud Platform utilizada por otros proveedores.

Vivimos en un mundo siempre conectado. Cualquier dispositivo que se precie cuenta con la posibilidad de conectarse bien a internet o a otro que disponga de dicha función. Por ejemplo, a través de nuestro smartphone podemos conectarnos a una cámara de vigilancia de forma remota. Si bien es cierto que facilita mucho las cosas y da libertad para conectarse sin tener que estar junto a él, también supone cierto peligro. A pesar de las medidas de seguridad tomadas para proteger estos dispositivos, siempre existe un resquicio que los ciberdelincuentes pueden aprovechar. Esto es lo que ha pasado con las cámaras de videovigilancia de bebés Victure IPC360, según ha revelado una reciente investigación de Bitdefender. Al parecer, el equipo ha descubierto una vulnerabilidad que podría dar control total de la cámara a los ciberatacantes, así como realizar secuestros del dispositivo. Descubren vulnerabilidad crítica en cámaras de videovigilancia de bebés.

La gravedad del problema es muy elevada, pues estaríamos hablando de una vulneración flagrante del derecho a la intimidad. Por si esto no fuera suficiente, la infraestructura Victure Cloud Platform (usada por otros proveedores) también se ha visto comprometida. Si un ciberatacante consigue acceso a la cámara Victure IPC360, podría no solo controlarla y espiar, sino también acceder al sistema de archivos y las transmisiones de audio y vídeo. La única solución que existe, según el equipo de investigación de Bitdefender, no es otra que parchear por completo la infraestructura y la cámara. Las vulnerabilidades descubiertas están en el servidor, por lo que ningún firewall ni acción del usuario resolverá los problemas. Mientras tanto, se recomienda a los usuarios del dispositivo no usarlo hasta que sea completamente seguro.  Podéis encontrar el informe completo en el siguiente enlace: https://www.bitdefender.com/files/News/CaseStudies/study/402/Bitdefender-PR-Whitepaper-VictureIPC-creat5590-en-EN.pdf – Descubren vulnerabilidad crítica en cámaras de videovigilancia de bebés

Aspectos clave de la vulnerabilidad descubierta

• Falta de control de acceso en los buckets de AWS que Victure IPC360 utiliza para almacenar vídeos. Esto brinda a los ciberatacantes la capacidad de descifrar y acceder a cualquier archivo almacenado en el bucket. Un usuario autenticado puede solicitar al servidor información sobre las cámaras propiedad de cualquier usuario.
• Una vez que el hacker tiene información de cualquier cámara a la que desea atacar puede emitir comandos para secuestrar completamente el dispositivo de forma remota y desactivar el cifrado de transmisiones o incluso obtener transmisiones de video en vivo.
• En la red local, Victure IPC360 tiene dos servicios (RTSP y ONVIF) que están deshabilitados por defecto. Pero estos pueden habilitarse sin autenticación. Después de habilitarlos, se podrá acceder al servicio ONVIF, que tiene una vulnerabilidad que un atacante puede aprovechar para obtener la ejecución del código.