Fallas críticas exponen 400 modelos de Axis cámaras a hacking

 

Aproximadamente 400 cámaras de seguridad de Axis Communications se ven afectadas por diversas vulnerabilidades, incluidas fallas críticas que pueden encadenarse para tomar el control completo de un dispositivo y acceder a su transmisión de video.

Como parte de su investigación sobre el internet de las cosas, la empresa de seguridad informática VDOO ha descubierto un total de siete vulnerabilidades en cámaras fabricadas por Axis. El fabricante ha identificado casi 400 modelos afectados y ha lanzado parches de seguridad para cada uno de ellos.

Acorde a especialistas en cursos en seguridad informática, un atacante que conozca la dirección IP de la cámara de destino puede de forma remota y sin autenticación tomar el control total del dispositivo. Esto incluye acceder a su transmisión de video, congelar la transmisión de video, controlar la dirección y funciones de la cámara (detección de movimiento, por ejemplo), alterar su software, aprovecharlo para el movimiento lateral dentro de la red, utilizarla para ataques DDoS y minería de criptomonedas, volviendo la cámara inútil.

Hay tres vulnerabilidades que se pueden encadenar para hackear de forma remota un dispositivo. Estos permiten a un atacante eludir la autenticación (CVE-2018-10661), enviar solicitudes especialmente diseñadas (CVE-2018-10662) e inyectar comandos arbitrarios (CVE-2018-10660).

Según expertos del Instituto Internacional de Seguridad Cibernética, los defectos descubiertos pueden ser explotados por hackers para bloquear varios procesos u obtener información de la memoria.

Axis ha publicado un aviso que contiene los nombres de todas las cámaras impactadas.

Esta no fue la primera vez que se descubren vulnerabilidades en las cámaras de Axis. Aproximadamente hace un año, investigadores encargados de cursos en seguridad informática encontraron un fallo de seguridad  llamado Devil’s Ivy, que permitía a un atacante ejecutar un ataque DoS o ejecutar código arbitrario en las cámaras Axis. Como esa falla afectó a un componente de terceros, otros dispositivos también se vieron afectados.

Como parte de esta serie de investigaciones y trabajos sobre el internet de las cosas, también han sido descubiertas vulnerabilidades graves en las cámaras Foscam, que también lanzó parches, a diferencia del año pasado cuando los investigadores se vieron obligados a revelar múltiples fallas después de que el proveedor no tomara medidas.