Brecha de seguridad en más de 9 millones de cámaras de CCTV

El fabricante chino de cámaras de vigilancia Xiongmai acusado de dejadez por no mejorar el sistema de seguridad de las cámaras que fabrica.

CCTV son las siglas en inglés de “closed circuit televisión” que traducido al español es “circuito cerrado de televisión”, consiste en una o más cámaras de vigilancias conectadas a uno o más monitores de video o televisores que reproducen las imágenes transmitidas por las cámaras.

Otro proveedor de dispositivos IoT se añade a la lista de
aquellos que están exponiendo sus productos a atacantes por fallas de seguridad
básicas.

Esta vez, es el fabricante chino de cámaras de vigilancia
Xiongmai acusado por investigadores de SEC Consult por la poca seguridad en el
servicio XMEye P2P Cloud. Entre los problemas que los investigadores señalaron, cabe destacarque se expusieron
las credenciales predeterminadas y las actualizaciones de firmware sin firmar
que podrían entregarse a través del servicio.

Como resultado, advierte SEC Consult, las cámaras podrían ser
utilizadas por atacantes para espiar a
sus propietarios, llevar a cabo instrucciones de botnets e incluso servir como
punto de entrada para intrusiones de red más grandes.

«Nuestra recomendación es que dejemos de usar los
dispositivos OEM Xiongmai y Xiongmai por completo», recomendó SEC Consult. «La compañía tiene una mala trayectoria de seguridad,
incluida su función en Mirai y otras varias redes de bots de IoT. Existen
vulnerabilidades que se publicaron en 2017, que aún no están corregidas en la
versión más reciente del firmware».

Habilitado de forma predeterminada, el servicio P2P Cloud
permite a los usuarios conectarse de forma remota a dispositivos mediante un
navegador web o una aplicación iOS / Android y controlar el hardware sin
necesidad de una conexión de red local.

Desafortunadamente, según explicó SEC Consult, las
deficiencias tanto en los dispositivos como en el servicio, como las conexiones
no cifradas y las contraseñas predeterminadas (los propietarios no tienen que
cambiar los valores predeterminados al configurar el dispositivo) significan
que, en muchos casos, la vulnerabilidad de la cámara podría usarse como trampolín
para atacar sistemas superiores.

Además, según las notas de la SEC Consult, los dispositivos
Xiongmai no requieren que las actualizaciones de firmware estén firmadas, lo
que significa que un atacante podría instalar actualizaciones de firmware
cargadas de malware para crear una red de bots o realizar más ataques en la red
local.

«Esto es posible ya sea modificando los sistemas de
archivos, contenidos en una actualización de firmware, o modificando el archivo
InstallDesc”, que es un archivo de texto que contiene comandos que se ejecutan
durante la actualización, explican los investigadores.

Además, SEC Consult acusa a Xiongmai de ignorar las
advertencias de seguridad y de no tomar las precauciones básicas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity