Se han descubierto 7
vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca,
que permitirían acceder sin credenciales, escalar privilegios y ejecutar
comandos arbitrarios
Las vulnerabilidades
han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno
enfocado a la seguridad de cámaras IP. Éstas son:
- CVE-2018-10658: bloqueo del proceso '/bin/ssid'.
- CVE-2018-10659: bloqueo del proceso '/bin/ssid'.
- CVE-2018-10660: inyección de comandos shell.
- CVE-2018-10661: salto del proceso de autenticación
- CVE-2018-10662: elevación de permisos usando funcionalidad '.srv' de dbus.
- CVE-2018-10663: lectura fuera del buffer en proceso '/bin/ssid'.
- CVE-2018-10664: bloqueo del proceso httpd.
De estas
vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661,
CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total
de las cámaras por el atacante sin la necesidad de autenticación. La empresa de
seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
- Acceder a la transmisión de vídeo.
- Bloquear la transmisión de vídeo.
- Tomar el control de la cámara para activarla/desactivarla o rotarla.
- Añadir la cámara a una botnet.
- Alterar o cambiar el firmware de la cámara.
- Utilizar la cámara para infiltrarse en la red.
- Inutilizar la cámara.
- Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Las otras
vulnerabilidades descritas, con los identificadores CVE-2018-10658,
CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la
cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la
vulnerabilidad CVE-2018-10663 permite la revelación de información sin
autenticación.
La empresa que ha
descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido
explotación, recomendando a todos los usuarios afectados actualizar de
inmediato. Axis ha liberado un listado de los modelos afectados.
Las vulnerabilidades
en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad
de preocuparse por la seguridad de estos dispositivos y mantenerlos
actualizados. No sólo es importante por la posible pérdida de privacidad (como
en este caso acceder al streaming de vídeo) sino también porque permiten
acceder al resto de la red para vulnerar otros dispositivos.
Más
información:
·
VDOO
Discovers Significant Vulnerabilities in Axis Cameras: https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilities-in-axis-cameras/
·
Affected
Product List: https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf
Fuente: Hispasec.com