Las cámaras IP inalámbricas ampliamente utilizadas están abiertas al secuestro a través de Internet, dicen los investigadores

Miles de cámaras IP inalámbricas conectadas a Internet tienen serias debilidades de seguridad que permiten a los atacantes secuestrarlas y alterar su firmware, según dos investigadores de la firma de seguridad Qualys.

Las cámaras se venden con la marca Foscam en EE. UU., pero los mismos dispositivos se pueden encontrar en Europa y en otros lugares con marcas diferentes, dijeron los investigadores de Qualys Sergey Shekyan y Artem Harutyunyan, que analizaron la seguridad de los dispositivos y están programados para presentar sus hallazgos en la conferencia de seguridad Hack in the Box en Amsterdam el jueves.

Tutoriales provid El editor de la cámara contiene instrucciones sobre cómo hacer que los dispositivos sean accesibles desde Internet configurando las reglas de reenvío de puertos en los enrutadores. Debido a esto, muchos de estos dispositivos están expuestos a Internet y pueden ser atacados de forma remota, dijeron los investigadores.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Encontrar las cámaras es fácil y se puede hacer de varias maneras. Un método consiste en utilizar el motor de búsqueda Shodan para buscar un encabezado HTTP específico para las interfaces de usuario basadas en la Web de las cámaras. Dicha consulta devolverá más de 100.000 dispositivos, dijeron los investigadores.

Los proveedores que venden estas cámaras también los tienen configurados para usar sus propios servicios dinámicos de DNS. Por ejemplo, a las cámaras Foscam se les asigna un nombre de host del tipo [dos letras y cuatro dígitos].myfoscam.org. Al escanear todo el espacio de nombre *.myfoscam.org, un atacante podría identificar la mayoría de las cámaras Foscam conectadas a Internet. Los investigadores dijeron que

Alrededor de dos de cada 10 cámaras permiten a los usuarios iniciar sesión con el nombre de usuario "administrador" predeterminado. y sin contraseña, dijeron los investigadores. Para el resto que tienen contraseñas configuradas por el usuario, hay otras formas de acceso.

Métodos de ataque

Un método es explotar una vulnerabilidad descubierta recientemente en la interfaz web de la cámara que permite a los atacantes remotos obtener una instantánea de la memoria del dispositivo.

Este volcado de memoria contendrá el nombre de usuario y la contraseña del administrador en texto claro junto con otra información sensible como credenciales de Wi-Fi o detalles sobre dispositivos en la red local, dijeron los investigadores. el proveedor ha parchado esta vulnerabilidad en el último firmware, el 99 por ciento de las cámaras Foscam en Internet aún ejecutan versiones de firmware más antiguas y son vulnerables, dijeron. También existe una forma de aprovechar esta vulnerabilidad incluso con el último firmware instalado si tiene credenciales de nivel de operador para la cámara.

Otro método es explotar una falla de falsificación de solicitudes entre sitios (CSRF) en la interfaz al engañar al administrador de la cámara para abrir un enlace específicamente diseñado. Esto se puede usar para agregar una cuenta de administrador secundaria a la cámara.

Un tercer método es realizar un ataque de fuerza bruta para adivinar la contraseña, porque la cámara no tiene protección contra esto y las contraseñas están limitadas a 12 personajes, dijeron los investigadores.

Una vez que un atacante obtiene acceso a una cámara, puede determinar su versión de firmware, descargar una copia de Internet, descomprimirla, agregarle código falso y escribirla en el dispositivo.

El firmware se basa en uClinux, un sistema operativo basado en Linux para dispositivos integrados, por lo que técnicamente estas cámaras son máquinas Linux conectadas a Internet. Esto significa que pueden ejecutar software arbitrario como un cliente de botnet, un proxy o un escáner, dijeron los investigadores.

Dado que las cámaras también están conectadas a la red local, se pueden usar para identificar y atacar de forma remota dispositivos locales que no funcionarían. De lo contrario, sería accesible desde Internet, dijeron.

Existen algunas limitaciones para lo que se puede ejecutar en estos dispositivos, ya que solo tienen 16 MB de RAM y una CPU lenta, y la mayoría de los recursos ya están siendo utilizados por sus procesos predeterminados. Sin embargo, los investigadores describieron varios ataques prácticos. Uno de ellos implica la creación de una cuenta de administrador de puerta trasera oculta que no figura en la interfaz web.

Un segundo ataque implica la modificación del firmware para ejecutar un servidor proxy en el puerto 80 en lugar de la interfaz web. Este proxy estaría configurado para comportarse de manera diferente dependiendo de quién se está conectando.

Por ejemplo, si el administrador accede a la cámara a través del puerto 80, el proxy mostrará la interfaz web normal porque el administrador no tiene configurado su navegador para use la dirección IP de la cámara como un proxy. Sin embargo, un atacante que configura su navegador de esta manera haría que su conexión se tunelizara a través del proxy.

Un tercer escenario de ataque implica el envenenamiento de la interfaz web para cargar un fragmento de código JavaScript alojado remotamente. Esto permitiría al atacante comprometer el navegador del administrador de la cámara cuando visite la interfaz.

Ataques automatizados

Los investigadores lanzaron una herramienta de código abierto llamada "getmecamtool" que se puede usar para automatizar la mayoría de estos ataques, incluida la inyección. archivos ejecutables en el firmware o parches en la interfaz web.

Lo único que la herramienta no automatiza es los ataques de derivación de autenticación, dijeron los investigadores. La herramienta requiere credenciales de inicio de sesión válidas para la cámara objetivo, una medida que los investigadores tomaron para limitar su abuso.

Las cámaras también son susceptibles a ataques de denegación de servicio porque solo pueden manejar alrededor de 80 HTTP concurrentes conexiones. Tal ataque podría ser utilizado, por ejemplo, para deshabilitar la cámara mientras se realiza un robo, dijeron los investigadores.

Lo mejor es que estas cámaras no estén expuestas a Internet, dijeron los investigadores. Sin embargo, si esto es necesario, entonces las cámaras deben implementarse detrás de firewalls o sistemas de prevención de intrusos con reglas estrictas.

El acceso a ellos solo debe permitirse desde un número limitado de direcciones IP de confianza y la cantidad máxima de conexiones simultáneas debe ser estrangulado, dijeron. También es una buena idea aislar las cámaras de la red local para evitar que se abuse de ellas para atacar dispositivos locales.

Si está interesado en implementar una cámara IP de alta definición que no se sabe que es susceptible Para este truco, tenemos revisiones de tres nuevos modelos.