El martes 18 de Julio pasado, la empresa de seguridad enfocada en internet-de-cosas Senrio reveló un defecto o vulnerabilidad del código gSOAP que se está llamando «Hiedra del diablo» conocida en inglés como Devil’s Ivy, ampliamente utilizado en productos de seguridad física, lo que podría permitir a atacantes remotos desactivar o retener plenamente miles de modelos de dispositivos conectados a Internet desde cámaras de seguridad a sensores e inclusive lectoras de tarjetas de control de acceso.
En total, la pequeña empresa detrás gSOAP, conocido como GENIVIA, dice que al menos 34 empresas utilizan el código en sus productos IOT. Y mientras GENIVIA ya ha lanzado un parche para el problema, hay tantos dispositivos IOT y de seguridad ya afectados que estos parches van a ser difícil de implementar en todos los dispositivos ya instalados en campo por lo que la vulnerabilidad podría persistir en una gran franja de dispositivos.
Los problemas de seguridad de Internet de las cosas surgen de algo más que la conexión de un montón de aparatos baratos a una Internet cruel e infectada de hackers.
A menudo diferentes proveedores ejecutan el mismo código de terceros a través de una variedad de productos. Eso significa que un solo error puede afectar a un número sorprendente de dispositivos dispares.
O, como investigadores de una compañía de seguridad han descubierto recientemente, una vulnerabilidad en una sola cámara de seguridad conectada a Internet puede exponer un defecto que deja a miles de diferentes modelos de dispositivo en situación de riesgo.
«Hemos hecho este descubrimiento en una sola cámara, pero el código se utiliza en una amplia gama de productos de seguridad física», dijo el Jefe de Operaciones de Senrio Michael Tanji. «Cualquier persona que utiliza uno de estos dispositivos va a ser afectados de una manera u otra.»
El siguiente video demuestra como la vulnerabilidad «Hiedra del Diablo» explota en una cámara de seguridad Ip de la empresa Axis modelo M3004
A quién afecta?
La investigación de Senrio comenzó el mes pasado, cuando sus investigadores encontraron una vulnerabilidad conocida como un desbordamiento de búfer en el firmware de una sola cámara de seguridad del fabricante sueco de cámaras de seguridad Axis Communications.
Dicen que el fallo permitiría a un hacker poder enviar una carga útil de dos giga (2GB) de datos maliciosos para ejecutar cualquier código que elija en esa cámara, potencialmente incapacitante, o también la instalación de malware en él o incluso interceptar suplantar el flujo de vídeo de la cámara.
Y el ataque, pronto descubrieron, que no sólo para un modelo de cámara, pero para cualquiera de la familia 249 que ofrece Axis.
Error en la Biblioteca gSOAP
Axis Communications ha desarollado y liberado rápidamente un parche para la vulnerabilidad. Pero la compañía también dijo a Senrio que el error no fue en el código de Axis, sino más bien en una biblioteca de código distribuido por GENIVIA como parte de su popular plataforma de desarrollo gSOAP.
Ese código gSOAP se utiliza, entre otras cosas, para poner en práctica un protocolo llamado ONVIF, o Foro de interfaz de red abierta de vídeo, un lenguaje de creación de redes para cámaras de seguridad y otros dispositivos de seguridad física utilizada por el consorcio ONVIF, cuyo cerca de 500 miembros incluyen empresas como Bosch , Canon, Cisco, D-Link, Fortinet, Hitachi, Honeywell, Huawei, Mitsubishi, Netgear, Panasonic, Sharp, Siemens, Sony y Toshiba.
Cientos de compañías miembros de ONVIF utilizan gSOAP y podrían haber dejado sus productos vulnerables como resultado de usarlo. Esto aun no está claro, en una llamada telefónica con WIRED, el fundador y creador de GENIVIA y del gSOAP, Robert van Engelen dijo que 34 empresas utilizan gSOAP de ONVIF, pero se negó a decir cuáles.
También argumentó que prácticamente, sólo los dispositivos que están configurados como servidores, como cámaras y sensores, serían vulnerables, y no los que utilizan gSOAP como clientes, como los teléfonos y ordenadores, teniendo en cuenta que esos clientes no tienen conexiones abiertas listas para ser explotados en Internet.
Senrio disputa lo que GENIVIA dice, con el argumento de que los servidores maliciosos podrían utilizar la vulnerabilidad para explotar los equipos cliente, también.
Van Engelen también señaló que su software es de código abierto, por lo que otras empresas pueden usarla sin su conocimiento. WIRED contactá a las 15 empresas más importantes en la lista de miembros de ONVIF nombradas arriba para preguntar si habían liberados parches específicos para sus productos.
Casi todos no respondieron o no quisieron hacer comentarios, pero un portavoz Bosch dijo que sus productos no se ven afectados por la vulnerabilidad. Un portavoz de Cisco dijo que la compañía está «consciente de la materia y está monitoreando», pero se negó a decir, o tal vez aún no lo sabía, ya sea que sus productos son vulnerables.
«En el caso vemos que los productos de Cisco se ven afectados, vamos a notificar a los clientes a través de nuestros procesos establecidos», escribió en un comunicado.
Con la herramienta de exploración de Internet-Shodan, Senrio exclusivamente encontró que 14.700 cámaras Axis eran vulnerables a su ataque, por lo menos, antes de que Axis liberará el parche.
Y dado que es una de las decenas de empresas que utilizan el código gSOAP de ONVIF, los investigadores de Senrio estiman que el número total de dispositivos afectados es de millones.
¿Qué tan grave es esto?
La gravedad de la vulnerabilidad de la «Hiedra del Diablo» dependerá sobre todo de cómo y que ta amplío pueda hacerse el parcheo de los dispositivos afectado.
GENIVIA dijo que se movió rápidamente para crear una actualización de seguridad tan pronto como Axis Communications le informó sobre el problema, e hizo publico un parche y alertó a los clientes el 21 de junio, pero no puede garantizar que los 34 proveedores de equipos con gSOAP de ONVIF lo hayan implementado. «Esa es su responsabilidad», dijo van Engelen.
Si los dispositivos están realmente protegidos dependerán tanto de las empresas que usan gSOAP hacer que el parche esté disponible, y luego sobre si los clientes lo instalan. Como la mayoría de los aparatos de Internet de los objetos, los dispositivos afectados por el fallo descubierto por Senrio no necesariamente tienen actualizaciones automáticas, o administradores cuidadosos del mantenimiento.
Por la inevitable fracción de dispositivos que no están parcheados o quedará sin actualizar, la hiedra del diablo podría todavía utilizarse para provocar un colapso de la IOT en masa.
La mayoría de los dispositivos vulnerables que utilizan el protocolo ONVIF se ocultan o están protegidos detrás de una pared cortafuegos (firewall) y otros tipos de segmentación de la red, lo que hacen que sean más difíciles de encontrar y explotar, dice Jonathan Lewit, presidente de la Comisión de Comunicaciones ONVIF.
La necesidad de enviar dos gigabytes completos de datos malintencionados a los dispositivos de destino significa que el ataque de la hiedra del diablo no puede ser distribuida con exactitud a través de Internet, dice Moore.
En cambio, sugiere que podría ser utilizada de una manera dirigida, de un dispositivo a la vez, o después de obtener un punto de apoyo inicial en la red de la víctima. Algunas implementaciones de código de gSOAP también limitarán automáticamente la cantidad de datos que el dispositivo puede recibir en un solo mensaje.
Este es un ejemplo de la amplitud con la cual un solo error puede penetrar en este tipo de dispositivos. «IOT o interenet-de-las-cosas afecta a nuestras vidas mucho más íntimamente actualmente.
La permanencia de esta vulnerabilidad nos recuerda que sin seguridad para todos los pequeños dispositivos computarizados de los que dependemos, estamos de pie sobre un castillo de naipes.
Si Usted posee o está comprando dispositivos como cámaras de video IP verifique con su empresa de instalación si esas cámaras usan el gSOAP de ONVIF. Comuniquese con el fabricante o vaya a su sitio web respectivo y compruebe si ya existe un parche para ese dispositivo y pida a un profesional realizar las actualizaciones necesarias en los dispositivos que puedan verse comprometidos.
Estaremos informando en nuevas publicaciones más sobre este asunto
