Cómo los hackers pueden tomar el control de tu dispositivo sin que lo sepas – La falla de MediaTek explicada

El boletín de seguridad de productos de MediaTek de enero de 2025 ha destacado una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2024-20154, que afecta a millones de dispositivos que utilizan chipsets MediaTek. Esta vulnerabilidad está presente en el firmware del módem y puede ser explotada sin necesidad de interacción del usuario o privilegios elevados.

---

Cómo Puede Ser Explotada CVE-2024-20154

CVE-2024-20154 es una vulnerabilidad crítica de ejecución remota de código (RCE) que permite a los atacantes explotar dispositivos de la siguiente manera:

---

1. Método de Explotación:

• Ataque de Estación Base Falsa:
  • Esta vulnerabilidad puede ser explotada por un atacante que configure una estación base falsa, que se hace pasar por una red celular legítima.
  • El dispositivo de la víctima (denominado Equipo de Usuario o UE) se conecta sin saberlo a esta estación base falsa.
  • Una vez establecida la conexión, la estación falsa explota la vulnerabilidad de desbordamiento de pila en el firmware del módem del dispositivo.
• Sin Interacción del Usuario:
  • Este exploit no requiere ninguna acción por parte del usuario, como hacer clic en un enlace o instalar una aplicación. La víctima solo necesita estar dentro del rango de la estación base falsa.
• Sin Privilegios Elevados:
  • El atacante no necesita privilegios elevados para explotar esta vulnerabilidad. Esta reside a nivel del firmware, lo que permite a los atacantes eludir las protecciones de seguridad en las capas superiores del sistema.

---

2. Pasos que Podría Usar un Atacante:

1. Configurar Estación Base Falsa:
   • Los atacantes configuran una torre celular falsa utilizando software y hardware especializado, que puede ser configurado con herramientas de fácil acceso.
   • La estación base falsa se anuncia como un proveedor celular legítimo, engañando a los dispositivos cercanos para que se conecten a ella.
2. Activar el Desbordamiento de Pila:
   • Una vez que el dispositivo se conecta, la estación base falsa envía paquetes de red malformados diseñados para explotar la vulnerabilidad de desbordamiento de pila en el firmware del módem.
3. Inyectar Código Malicioso:
   • El atacante inyecta código arbitrario en el módem del dispositivo, obteniendo control total sobre las funcionalidades del módem.
   • Esto puede incluir modificar las comunicaciones del dispositivo, interceptar llamadas y mensajes, o deshabilitar el acceso a la red.
4. Tomar Control:
   • Una vez que se logra el control sobre el firmware del módem, los atacantes pueden ejecutar comandos, exfiltrar datos o incluso propagar malware a otros dispositivos conectados a la misma red.

---

3. Escenarios Potenciales de Explotación:

• Intercepción de Comunicaciones:
  • Los atacantes podrían interceptar y escuchar llamadas, leer mensajes de texto y monitorear el tráfico de internet.
• Robo de Datos:
  • Datos sensibles como credenciales, información personal o datos financieros podrían ser robados sin el conocimiento del usuario.
• Secuestro del Dispositivo:
  • Los atacantes podrían tomar el control total del módem del dispositivo para interrumpir las comunicaciones o utilizar el dispositivo como parte de una botnet.
• Propagación de Malware:
  • Los dispositivos comprometidos podrían ser utilizados para distribuir malware a otros dispositivos conectados a la misma estación base falsa o red.

---

Por Qué Este Exploit es Peligroso:

• Superficie de Ataque Amplia:
  • La vulnerabilidad afecta a más de 40 modelos de chipsets MediaTek, impactando a millones de dispositivos, incluyendo smartphones, dispositivos IoT, tabletas y hasta televisores inteligentes.
• Sin Interacción Necesaria:
  • Los exploits que no requieren interacción del usuario son más difíciles de detectar y mitigar en tiempo real.
• Rango de Ataque Extenso:
  • El exploit solo requiere proximidad física a la víctima, lo que lo hace factible para atacantes en áreas concurridas como aeropuertos, centros comerciales o estadios.

---

Vulnerabilidades Adicionales Abordadas

El boletín de MediaTek también aborda otras vulnerabilidades, clasificadas como de alta gravedad:

• Gestión de Energía:
  • CVE-2024-20140: Un problema de escritura fuera de límites que podría permitir escalada de privilegios local.
• Subsistema de Audio Digital:
  • CVE-2024-20143, CVE-2024-20144, CVE-2024-20145: Estas fallas pueden permitir acceso no autorizado a datos sensibles o funciones del sistema.
• Controlador WLAN:
  • CVE-2024-20146, CVE-2024-20148: Vulnerabilidades que conducen a la ejecución remota de código.
• Subsistema M4U:
  • CVE-2024-20105: Un problema de escritura fuera de límites que habilita la escalada de privilegios local.

---

Mitigación

MediaTek ha tomado las siguientes acciones:

• Notificación a los OEMs: Los fabricantes de dispositivos han sido informados sobre estas vulnerabilidades.
• Publicación de Parches de Seguridad: Se han proporcionado actualizaciones para abordar estas fallas.

---

Recomendaciones para los Usuarios

1. Verifique Actualizaciones:
   • Asegúrese de que el firmware y el software de su dispositivo estén actualizados a la última versión.
2. Aplique Parches Inmediatamente:
   • Instale los parches de seguridad proporcionados por el fabricante para mitigar estos riesgos.
3. Evite Redes No Confiables:
   • Tenga cuidado al conectarse a redes celulares desconocidas o sospechosas.
4. Monitoreo de Seguridad:
   • Use herramientas de monitoreo de redes o soluciones de gestión de dispositivos móviles para detectar comportamientos anormales en el dispositivo.

---

CVE-2024-20154 destaca la importancia de asegurar el firmware de los chipsets y de implementar rápidamente los parches de seguridad. La amplia superficie de ataque, combinada con la facilidad de explotación, hace que esta vulnerabilidad sea especialmente peligrosa. Es crucial que los usuarios y fabricantes actúen con rapidez para proteger los dispositivos y prevenir posibles explotaciones.