Una firma de seguridad reportó el hallazgo de tres vulnerabilidades en el software de los dispositivos CCTV de la firma tecnológica Axis Communications, que ya ha reconocido las fallas y emitido las actualizaciones de firmware correspondientes. Según el reporte, las fallas residen en Axis OS Active 10.7, Axis OS 2016 LTS 6.50.5.5, Axis OS 2018 LTS 8.40.4.3, Axis OS 2020 LTS 9.80.3.5, Axis OS Active 10.8, Axis OS 2016 LTS 6.50.5.5, Axis OS 2018 LTS 8.40.4.3 y Axis OS 2020 LTS 9.80.3.5.
El reporte, publicado por Nozomi Networks Labs, describe las fallas como un desbordamiento de búfer basado en el montón identificada como CVE-2021-31986; una validación incorrecta en las funciones de prueba de red identificada como CVE-2021-31897; y una inyección de encabezado SMTP en la función email de los dispositivos afectados identificada como CVE-2021-31988.
Los expertos encontraron la primera falla en la función de devolución de llamada de lectura, descubriendo que los parámetros proporcionados son manipulables desde el exterior y no estaban suficientemente validados por el código del lado del servidor antes de llegar a la función de devolución de llamada de lectura. La falla recibió un puntaje de 6.7/10 según el Common Vulnerability Scoring System (CVSS).
Por otra parte, CVE-2021-31897 está relacionada con las funciones de prueba de los destinatarios HTTP, correo electrónico y TCP, que tienen controles de seguridad basados en listas de bloqueo para impedir las interacciones con los servicios de red expuestos al host local. La falla recibió un puntaje CVSS de 4.1/10.
Finalmente, CVE-2021-21988 existe debido a una inyección de encabezado SMTP en la función de prueba SMTP: “Al redirigir a la víctima un sitio web especialmente diseñado, los actores de amenazas podrían engañar al dispositivo para enviar emails maliciosos a otros usuarios con valores de encabezado SMTP arbitrarios”, menciona el reporte.
La falla puede ser explotada para realizar ataques de phishing, difundir malware a través de correos electrónicos o divulgar información confidencial, señalan los expertos.
Los investigadores notificaron a Axis en junio pasado, cuando la compañía comenzó a trabajar en las actualizaciones de firmware necesarias. El reporte señala que algunos dispositivos afectados no están incluidos pero igualmente recibirán las actualizaciones para evitar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
