Una nueva investigación ha encontrado que una tecnología de comunicaciones peer-to-peer (P2P) integrada en millones de cámaras de seguridad y otros productos electrónicos de consumo incluye varias fallas de seguridad críticas que exponen los dispositivos a espionaje, robo de credenciales y compromiso remoto.
Un mapa que muestra la distribución de unos 2 millones de dispositivos habilitados para iLinkP2P que son vulnerables a escuchas ilegales, robo de contraseñas y posible compromiso remoto, según una nueva investigación.
Los fallos de seguridad implican iLnkP2Psoftware desarrollado por la empresa con sede en China Tecnología Shenzhen Yunni. iLnkP2p se incluye con millones de dispositivos de Internet de las cosas (IoT), incluidas cámaras de seguridad y cámaras web, monitores para bebés, timbres inteligentes y grabadoras de video digital.
iLnkP2P está diseñado para permitir que los usuarios de estos dispositivos accedan rápida y fácilmente a ellos de forma remota desde cualquier parte del mundo, sin tener que jugar con el firewall: los usuarios simplemente descargan una aplicación móvil, escanean un código de barras o ingresan la identificación de seis dígitos estampada en el parte inferior del dispositivo, y el software P2P se encarga del resto.
Una cámara web hecha por HiChip que incluye el software iLnkP2P.
Pero según un análisis en profundidad compartido con KrebsOnSecurity por un investigador de seguridad Pablo Marrapeselos dispositivos iLnkP2P no ofrecen autenticación ni encriptación y se pueden enumerar fácilmente, lo que permite a los atacantes potenciales establecer una conexión directa con estos dispositivos mientras eluden las restricciones del firewall.
Marrapese dijo que un script de prueba de concepto que creó identificó más de dos millones de dispositivos vulnerables en todo el mundo (ver mapa arriba). Encontró que el 39 por ciento de las cosas vulnerables de IoT estaban en China; otro 19 por ciento se encuentra en Europa; el siete por ciento de ellos están en uso en los Estados Unidos.
Si bien puede parecer imposible enumerar más de un millón de dispositivos con solo una identificación de seis dígitos, Marrapese señala que cada identificación comienza con un prefijo alfabético único que identifica qué fabricante produjo el dispositivo, y hay docenas de empresas que marcan el dispositivo con marca blanca. Software iLnkP2P.
Por ejemplo, HiChip — un proveedor chino de IoT que, según Marrapese, representa casi la mitad de los dispositivos vulnerables — utiliza los prefijos FFFF, GGGG, HHHH, IIII, MMMM, ZZZZ.
Estos prefijos identifican diferentes líneas de productos y proveedores que usan iLnkP2P. Si el código estampado en su dispositivo IoT comienza con uno de estos, es vulnerable.
“En teoría, esto les permite admitir casi 6 millones de dispositivos solo para estos prefijos”, dijo Marrapese. «En realidad, la enumeración de estos prefijos ha demostrado que la cantidad de dispositivos en línea fue de aproximadamente 1 517 260 en marzo de 2019. Al enumerar todos los prefijos de otros proveedores, la cifra se acerca a los 2 millones».
Marrapese dijo que también creó un ataque de prueba de concepto que puede robar contraseñas de los dispositivos al abusar de su función de «latido» incorporada. Al conectarse a una red, los dispositivos iLnkP2P enviarán regularmente un latido o un mensaje de «aquí estoy» a sus servidores P2P preconfigurados y esperarán más instrucciones.
“Un servidor P2P dirigirá las solicitudes de conexión al origen del mensaje de latido recibido más recientemente”, dijo Marrapese. “Simplemente conociendo un UID de dispositivo válido, es posible que un atacante emita mensajes de latidos fraudulentos que reemplazarán a los emitidos por el dispositivo original. Al conectarse, la mayoría de los clientes intentarán de inmediato autenticarse como usuarios administrativos en texto sin formato, lo que permitirá que un atacante obtenga las credenciales para el dispositivo”.
Para empeorar las cosas, incluso si un atacante no quiere molestarse en interceptar las contraseñas de los dispositivos, muchos de ellos se ejecutarán en su estado predeterminado de fábrica con la contraseña predeterminada de fábrica. El malware IoT Mirai demostró esto de manera concluyente, ya que se propagó rápidamente a millones de dispositivos usando nada más que las credenciales predeterminadas para dispositivos IoT fabricados por docenas de fabricantes.
Además, como vimos con Mirai, el firmware y el software integrados en estos dispositivos IoT a menudo se basan en un código de computadora que tiene muchos años y está repleto de vulnerabilidades de seguridad, lo que significa que cualquier persona que pueda comunicarse directamente con ellos probablemente también pueda hacerlo. comprometerlos remotamente con software malicioso.
Marrapese dijo a pesar de los intentos de notificar CERT de China, iLnk y media docena de proveedores importantes cuyos productos constituyen la mayor parte de los dispositivos afectados, ninguno de ellos ha respondido a sus informes, a pesar de que comenzó a comunicarse con ellos hace más de cuatro meses. Ni HiChip ni iLnk respondieron a las solicitudes de comentarios enviadas por KrebsOnSecurity.
Curiosamente, el sitio web de iLnk (p1.i-lnk[.]com) actualmente parece no funcionar, y una revisión de su código fuente HTML indica que el sitio actualmente está comprometido por un script ofuscado que intenta redirigir a los visitantes a un sitio web chino de juegos.
A pesar del impacto generalizado de estas vulnerabilidades, la investigación de Marrapese sugiere que la reparación por parte de los proveedores es poco probable y, de hecho, inviable.
“La naturaleza de estas vulnerabilidades las hace extremadamente difíciles de remediar por varias razones”, escribió Marrapese. “La corrección basada en software es poco probable debido a la imposibilidad de cambiar los UID de los dispositivos, que se asignan de forma permanente durante el proceso de fabricación. Además, incluso si se emitieron parches de software, la probabilidad de que la mayoría de los usuarios actualicen el firmware de su dispositivo es baja. Los retiros de dispositivos físicos también son poco probables debido a los considerables desafíos logísticos. Shenzhen Yunni Technology es un proveedor upstream con subproveedores inestimables debido a la práctica de marca blanca y reventa”.
Marrapese dijo que no existe una forma práctica de desactivar la funcionalidad P2P en los dispositivos afectados. Muchos dispositivos IoT pueden abrir brechas en los cortafuegos mediante una función integrada en los enrutadores basados en hardware llamada Plug and Play universal (UPnP). Pero simplemente apagar UPnP en el enrutador de uno no evitará que los dispositivos establezcan una conexión P2P, ya que dependen de una técnica de comunicación diferente llamada «Punzonado UDP.”
Marrapese dijo que debería ser posible bloquear la comunicación de los dispositivos vulnerables con cualquier servidor P2P mediante la configuración de reglas de firewall que bloqueen el tráfico destinado al puerto UDP 32100.
Sin embargo, una idea mucho más segura sería simplemente evitar comprar o usar dispositivos IoT que anuncian ningún Capacidades P2P. Investigaciones anteriores han descubierto vulnerabilidades similares en la funcionalidad P2P integrada en otros sistemas IoT. Para ver ejemplos de esto, consulte Esta es la razón por la cual la gente teme al Internet de las cosas, y los investigadores encuentran alimento fresco para los cañones de ataque de IoT.
Marrapese documentó sus hallazgos con más detalle. aquí. A la vulnerabilidad de enumeración se le ha asignado CVE-2019-11219 y a la vulnerabilidad de intermediario se le ha asignado CVE-2019-11220.
Lectura adicional: algunas reglas básicas para asegurar sus cosas de IoT.
Relacionado:
Bugzilla Zero-Day expone errores de Zero-Day – Krebs sobre seguridad
Función de LinkedIn expone direcciones de correo electrónico – Krebs sobre seguridad
