El equipo de analistas de Claroty ha detectado 13 vulnerabilidades que podrían permitir a los ciberatacantes ejecutar código de forma remota con el fin de activar y controlar la cámara y el micrófono del intecomunicador, robar vídeo e imágenes, o conseguir un punto de entrada en la red.

Todo comenzó como una investigación más acerca de un nuevo intercomunicador inteligente, dispositivo con cámara que permite ver quién está llamando a la puerta de casa u oficina y hablar a través del móvil o de un altavoz inteligente, dentro de las oficinas de Claroty, empresa de protección de sistemas de ciberseguridad online y físicos. Team82, el equipo de investigación de la compañía, detectó en el “telefonillo inteligente” de Akuvox 13 una serie de vulnerabilidades que podrían permitir a los ciberatacantes ejecutar código de forma remota con el fin de activar y controlar la cámara y el micrófono del dispositivo, robar vídeo e imágenes, o conseguir un punto de entrada en la red.

Según han descubierto los investigadores, estas brechas de seguridad se pueden explotar mediante tres vectores de ataque principales: ejecución remota de código dentro de las redes de área local; activación remota de la cámara y el micrófono del dispositivo y transmisión de datos al atacante; y acceder a un servidor FTP externo e inseguro y descargar imágenes y datos almacenados.

Team82 ha detectado fallos graves y violaciones de la privacidad en el dispositivo

En su primer análisis de este dispositivo, Team82 exploró el firmware, emuló el servidor web local en una Raspberry Pi y comenzó a analizar vulnerabilidades. Gracias a sus esfuerzos, los investigadores localizaron fallos graves y violaciones de la privacidad tanto para las organizaciones como para los usuarios particulares afectados. Estos tres vectores de ataque son:

• Ejecución remota de código: dos de las vulnerabilidades encontradas -falta de autenticación para una función crítica (CVE-2023-0354), y una vulnerabilidad de inyección de comandos (CVE-2023-0351)- pueden encadenarse para ejecutar código de forma remota en la red local. Si un dispositivo con brechas de seguridad se expone a Internet, un atacante puede utilizar estos fallos para hacerse con el control del dispositivo, ejecutar código arbitrario y, posiblemente, desplazarse lateralmente en la red de la empresa. Según la página web de Akuvox, estos dispositivos son la primera línea de defensa en residencias de ancianos, almacenes, edificios de apartamentos, aparcamientos, centros médicos e incluso viviendas unifamiliares.
• Abrir la cámara de forma remota: otra vulnerabilidad (CVE-2023-0348) puede aprovecharse para activar remotamente la cámara y el micrófono, sin autenticación, y transmitir los datos al atacante. En organizaciones sensibles a la privacidad, como los centros de salud, esto puede hacer peligrar la privacidad del paciente y ocasionar grandes fallos en el sistema.
• Recopilar imágenes activadas por movimiento de todos los interfonos: en este escenario, como la cámara del portero automático se activa con el movimiento, se toman imágenes y se suben a un servidor de almacenamiento de archivos FTP externo e inseguro. Las imágenes están disponibles durante un periodo de tiempo definido en el servidor antes de ser borradas periódicamente. En este intervalo de tiempo, un atacante podría descargar imágenes de interfonos Akuvox funcionando en cualquier lugar.

Team82 ofrece tres medidas de seguridad para mantenerse protegido en caso de contar con uno de estos dispositivos:

1. Evitar la exposición a Internet: asegurarse de que el dispositivo Akuvox de una organización no esté expuesto a Internet para cerrar el actual vector de ataque remoto disponible para los ciberdelincuentes. Sin embargo, los administradores probablemente perderían su capacidad de interactuar de forma remota con el dispositivo a través de la aplicación móvil SmartPlus.
2. Aislar el dispositivo: dentro de la red de área local, Team82 aconseja a las organizaciones que segmenten y aíslen el dispositivo Akuvox del resto de la red de la empresa. Esto evita cualquier movimiento lateral que un ciberdelincuente con acceso al dispositivo pudiera obtener. El dispositivo no sólo debe residir en su propio segmento de red, sino que la comunicación debe limitarse a una lista acotada de endpoints. Además, sólo deben abrirse los puertos necesarios para configurar el dispositivo; también se recomienda deshabilitar el puerto UDP 8500 para el tráfico entrante, ya que el protocolo de descubrimiento del dispositivo no es necesario.
3. Cambiar la contraseña: por último, es aconsejable modificar la contraseña predeterminada que protege la interfaz web. Inicialmente la clave predeterminada es débil y está incluida en la documentación del dispositivo, que está a disposición del público.

En enero de 2022, Claroty centró sus esfuerzos en comunicarse con el equipo de Akuvox, y Team 82 procedió a la apertura de varios tickets de soporte, pero el vendedor los cerró inmediatamente antes de que la cuenta de Claroty fuera finalmente bloqueada el 27 de enero de 2022. El dispositivo, el Akuvox E11, sigue sin parches después de muchos intentos infructuosos de contactar y coordinar la divulgación con el proveedor chino, líder mundial en intercomunicadores inteligentes basados en SIP.

“La hiperconectividad ha alcanzado niveles nunca vistos. El auge de tecnologías como el 5G, la IA o el cloud ha hecho que se disparen las amenazas hasta el punto de poner en jaque la privacidad de los datos de muchos usuarios. Los dispositivos IoT están experimentando una tendencia alcista que está lejos de detenerse. Por eso, desde Claroty ofrecemos distintas medidas que se pueden implementar para mitigar al máximo los riesgos en entornos XIot, OT, entornos Médicos e IT.”, afirma José Antonio Sánchez Ahumada, director de Ventas para España y Portugal en Claroty.