Clever IoT property hubs vulnerables a ataques de ejecución remota de código


Los investigadores descubrieron que una variedad de centros inteligentes de Internet de las cosas (IoT) que se encuentran comúnmente en nuestros hogares y oficinas están albergando graves fallas de seguridad.

El miércoles, el equipo de ciberseguridad de ESET dijeron tres centros diferentes – El Fibaro Home Middle Lite, la Unidad de Command Central Homemático (CCU2) de eQ-3 y el eLAN-RF-003 de ElkoEP – contenían errores lo suficientemente peligrosos como para desencadenar la ejecución remota de código (RCE), fugas de datos y Man-in-the- Ataques medios (MitM).

El Fibaro Residence Heart Lite es un controlador compacto y easy para administrar dispositivos inteligentes, como iluminación inteligente y electrodomésticos. El Homematic CCU2 de eQ-3, un producto heredado seguido del CCU3, administra las funciones de programación y lógica para los dispositivos Homematic, y el eLAN-RF-003, desarrollado por ElkoEP, es una caja de RF inteligente que se puede conectar a una LAN para controlar redes a través de dispositivos móviles.

Se probó el Fibaro Home Centre (HC) Lite – versión de firmware 4.170 -, lo que condujo al descubrimiento de fallas de seguridad, incluida la falta de validación del certificado en las conexiones TLS, exponiendo a los usuarios a ataques MiTM e inyección de comandos.

Ver también: Estudiantes, choque universitario por la instalación forzada de program de monitoreo de exámenes remotos en computadoras personales

También fue posible forzar al concentrador a exponer una contraseña corta codificada almacenada en el firmware para crear una puerta trasera SSH sin demasiada dificultad y obtener acceso completo a la raíz para el secuestro de dispositivos. La contraseña de sal, codificada en el hub, era fácilmente accesible a través de la interfaz internet de Fibaro.

Finalmente, si las solicitudes fueron enviadas a una función en el Fibaro HC Lite responsable del monitoreo del clima, el dispositivo filtró sus coordenadas GPS exactas. Las actualizaciones de firmware también se descargaron a través de HTTP y no se cifraron ni se protegieron.

El Homematic CCU2 del eQ-3, implementado en toda Europa, también albergaba una grave vulnerabilidad. Después de probar la versión de firmware 2.31.25, ESET encontró un mistake RCE en la secuencia de comandos CGI del concentrador, lo que provocó ataques de ejecución remota de código por parte de usuarios no autenticados y el secuestro completo del dispositivo.

El eLAN-RF-003 de Elko, que se ejecuta en la versión de firmware 2.9.079, contenía errores críticos que no incluían la implementación de HTTPS para encriptar las comunicaciones, verificaciones de autenticación inadecuadas que permitían ejecutar todos los comandos sin credenciales y ningún uso de cookies de sesión.

Estas vulnerabilidades podrían usarse para filtrar datos confidenciales, exponer a los usuarios a ataques MiTM y también permitir a los atacantes desplegar paquetes maliciosos para la ejecución de código. También había poca protección para la interfaz web del dispositivo, lo que podría permitir a los actores de amenazas secuestrar la caja de RF inteligente y sus conexiones.

CNET: El senador pide a los CEO de Google y Apple que sean personalmente responsables de la privacidad del proyecto de seguimiento COVID-19

Los problemas se informaron a los proveedores en 2018. Si bien esto fue hace mucho tiempo y el equipo de investigación dijo que otros proyectos de divulgación se convirtieron en la prioridad, lo que llevó a la demora en el lanzamiento público, ya que muchos de nosotros ahora estamos trabajando o funcionando Nuestros negocios desde casa, ESET, querían eliminar esta placa en particular.

No obstante, se insta a los usuarios de estos dispositivos a verificar que se hayan instalado las actualizaciones.

ESET informó las vulnerabilidades de Elko y eQ-3 durante febrero y marzo. En mayo, Elko lanzó un parche que corrige algunos de los errores a través de la versión de firmware 3..038, pero la comunicación de la GUI net no cifrada y los problemas de comunicación de RF vulnerables permanecen hasta el día de hoy. eQ-3 parchó la falla de RCE en julio.

TechRepublic: Los equipos de seguridad quieren nuevas herramientas pero carecen del presupuesto para experimentar

El conjunto de errores de Fibaro fue revelado en privado al vendedor en agosto. En cuestión de días, el proveedor resolvió todo, excepto la cadena de sal codificada, que no cambió y ESET dice que todavía se está utilizando para crear hashes de contraseña SHA-1.

ESET no ha probado las nuevas generaciones de los centros de IoT de los proveedores.

«Algunos de los problemas parecen haber quedado sin resolver, al menos en las generaciones anteriores de dispositivos», dice ESET. «Incluso si hay nuevas generaciones más seguras disponibles, sin embargo, las más antiguas todavía están en funcionamiento (…) Con poco incentivo para que los usuarios de dispositivos más antiguos pero funcionales las actualicen, ellos (los usuarios) deben ser cautelosos, ya que aún podrían estar expuestos «.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original