Especialistas en ciberseguridad reportan la detección de un conjunto de severas vulnerabilidades en un popular monitor de bebé cuya explotación permitiría a los hackers ejecutar código arbitrario en los dispositivos afectados. Acorde al reporte, elaborado por los expertos de Bitdefender, estas fallas residen en los equipos fabricados por la compañía china Victure.
A través de una alera de seguridad, los investigadores detallaron la detección del desbordamiento de búfer basado en pila en el componente del servidor ONVIF de la cámara inteligente Victure PC420. Este problema permitiría a los actores de amenazas ejecutar código remoto en el dispositivo afectado, derivando en escenarios de ataque posteriores como la intercepción de las señales transmitidas por estos dispositivos y el compromiso del firmware afectado.
Bogdan Botezatu, director de investigación de Bitdefender, asegura que estos dispositivos y su plataforma en la nube son implementaciones muy populares entre los usuarios de Internet de las Cosas (IoT), por lo que podría haber hasta 4 millones de implementaciones afectadas. Cabe aclarar que la falla reside en los dispositivos Victure PC420 con versión de firmware 1.2.2 y anteriores.
Los investigadores trataron de contactar a Victure para presentar sus hallazgos, aunque decidieron revelar la falla después de no recibir respuesta alguna: “Hicimos varios intentos para ponernos en contacto con el proveedor, aunque no tuvimos éxito”, agrega Botezatu.
Considerando que el fabricante parece no estar al tanto de las fallas y que el firmware de estos dispositivos no ha sido actualizado, se recomienda a los usuarios preocupados por su seguridad dejar de usar por completo cualquier equipo de Victure: “Los actores de amenazas han abusado de fallas similares en ocasiones anteriores, poniendo en riesgo severo a los menores que se supone deberían vigilar estos monitores”, agrega el experto.
Expertos señalan que evadir los reportes sobre vulnerabilidades es una práctica negligente de parte de los fabricantes de dispositivos IoT, ya que eligen no lanzar actualizaciones y mucho menos alertar a los usuarios sobre los riesgos de seguridad relacionados con los dispositivos afectados. Al momento de redacción de este artículo, la compañía con sede en China sigue sin responder a las constantes solicitudes de información.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
