Millones de cámaras domésticas y de seguridad conectadas contienen una vulnerabilidad SDK P2P de software crítica que puede permitir a los atacantes remotos acceder a las transmisiones de video, según una advertencia de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
El error ( CVE-2021-32934 , con una puntuación base CVSS v3 de 9.1) se introdujo a través de un componente de la cadena de suministro de ThroughTek que utilizan varios fabricantes de equipos originales (OEM) de cámaras de seguridad, junto con los fabricantes de dispositivos de IoT como cámaras de vigilancia de bebés y mascotas, y dispositivos robóticos y de batería.
Los problemas potenciales que surgen de la visualización no autorizada de las fuentes de estos dispositivos son innumerables: para los operadores de infraestructura crítica y las empresas, las intercepciones de las señales de video podrían revelar datos comerciales confidenciales, secretos de producción / competitivos, información sobre planos para su uso en ataques físicos e información de los empleados. Y para los usuarios domésticos, las implicaciones de privacidad son obvias.
En su alerta, emitida el martes , CISA dijo que hasta el momento, ningún exploit público conocido apunta al error en estado salvaje.
SDK P2P vulnerable
El componente ThroughTek en cuestión es su kit de desarrollo de software (SDK) peer-to-peer (P2P), que se ha instalado en varios millones de dispositivos conectados, según el proveedor . Se utiliza para proporcionar acceso remoto a transmisiones de audio y video a través de Internet.
Nozomi Networks, que descubrió el error, señaló que la forma en que funciona P2P se basa en tres aspectos arquitectónicos:
Una grabadora de video en red (NVR), que está conectada a cámaras de seguridad y representa el servidor P2P local que genera la transmisión de audio / video.
Un servidor P2P externo, administrado por el proveedor de la cámara o el proveedor del SDK P2P. Este servidor actúa como intermediario, lo que permite que el cliente y el NVR establezcan una conexión entre sí.
Un cliente de software, ya sea una aplicación móvil o de escritorio, que accede a la transmisión de audio / video desde Internet.
“Una peculiaridad de los SDK P2P … es que los OEM no solo están otorgando licencias para una biblioteca de software P2P”, señalaron analistas de Nozomi Networks, en una publicación del martes. «También reciben servicios de infraestructura (el servidor P2P externo) para autenticar clientes y servidores y manejar la transmisión de audio / video».
Al analizar la implementación del cliente específico para la plataforma P2P de ThroughTek y el tráfico de red generado por un cliente de Windows que se conecta al NVR a través de P2P, los investigadores de Nozomi encontraron que los datos transferidos entre el dispositivo local y los servidores de ThroughTek carecían de un intercambio de claves seguro, confiando en cambio en un esquema de ofuscación basado en una clave fija.
“Después de establecer algunos puntos de interrupción en los lugares correctos, logramos identificar un código interesante donde la carga útil del paquete de la red se desenfoca ”, según el artículo de Nozomi . «Dado que este tráfico atraviesa Internet, un atacante que pueda acceder a él puede reconstruir la transmisión de audio / video».
Nozomi pudo crear un script de prueba de concepto que elimina la confusión de los paquetes sobre la marcha del tráfico de red, dijo, pero no se dieron más detalles técnicos. En particular, el aviso de ThroughTek también enumeró la suplantación de dispositivos y el secuestro de certificados de dispositivos como otros riesgos potenciales de cualquier explotación del error. El proveedor ha solucionado el problema con la última versión del firmware.
Versiones afectadas y remedios:
- Todas las versiones por debajo de 3.1.10
- Versiones del SDK con etiqueta nossl
- Firmware del dispositivo que no usa AuthKey para la conexión IOTC
- Firmware del dispositivo que usa el módulo AVAPI sin habilitar el mecanismo DTLS
- Firmware del dispositivo que utiliza el módulo P2PTunnel o RDT
Acciones a tomar:
Si SDK es 3.1.10 y superior, habilite Authkey y DTLS
Si el SDK está por debajo de 3.1.10, actualice la biblioteca a 3.3.1.0 o 3.4.2.0 y habilite Authkey / DTLS
Desafortunadamente, los usuarios finales se verán obligados a confiar en los fabricantes de cámaras e IoT para instalar las actualizaciones; los socios proveedores de ThroughTek no son públicos.
“Debido a que la biblioteca P2P de ThroughTek ha sido integrada por múltiples proveedores en muchos dispositivos diferentes a lo largo de los años, es virtualmente imposible que un tercero rastree los productos afectados”, dijeron los investigadores de Nozomi.
Los errores de la cámara de IoT no son raros: el mes pasado, por ejemplo, se advirtió a los propietarios de las cámaras de seguridad para el hogar Eufy de un error interno del servidor que permitía a extraños ver, desplazarse y hacer zoom en sus videos domésticos. A los clientes también se les dio acceso repentinamente para hacer lo mismo con otros usuarios.
