Herramienta permite acceder a dispositivos de videograbación

Bleeping Computer
03/05/2018

Un investigador de seguridad argentino llamado Ezequiel Fernández publicó una poderosa herramienta que puede extraer fácilmente las credenciales de texto en claro para varias marcas de grabadoras de video digital (DVR, por sus siglas en inglés) y otorgar acceso a los atacantes a esos sistemas, e inherentemente a los videos que graban.

CVE-2018-9995, el defecto peligroso que todos ignoraron

Fernandez descubrió que al acceder al panel de control de algunos DVR específicos con una cookie en las cabeceras HTTP, "Cookie: uid = admin", el DVR responde con las credenciales de administrador del dispositivo en texto claro. Todo el exploit es lo suficientemente pequeño como para caber dentro de un tweet.

$> curl "http: // {DVR_HOST_IP}: {PORT} /device.rsp?opt=user&cmd=list" -H "Cookie: uid = admin"

Inicialmente, Fernández descubrió que el CVE-2018-9995 afectaba solo a los dispositivos DVR fabricados por TBK, pero en una actualización de su informe original publicado el lunes, el investigador amplió la lista de dispositivos vulnerables para incluir sistemas hechos por otros proveedores, la mayoría de los cuales parecen ser versiones renombradas de las series TBK DVR4104 y DVR4216 originales.

  • Novo
  • CeNova
  • QSee
  • Pulnix
  • XVR 5 en 1
  • Securus
  • Night OWL
  • DVR Login
  • HVR Login
  • MDVR Login

Decenas de miles de dispositivos vulnerables disponibles en línea

El investigador estimó la cantidad de dispositivos vulnerables en al menos unas pocas decenas de miles. Una captura de pantalla de una consulta que Fernández hizo en Shodan para identificar dispositivos vulnerables mostró más de 55,000 DVR disponibles en línea, mientras que otra mostró 10,000 más.

Fernández también publicó algunas capturas de pantalla de dispositivos a los que tuvo acceso mediante la explotación del CVE-2018-9995 y su herramienta. Las capturas de pantalla mostraron que Fernández tenía acceso completo a la configuración de los DVR, pero también a los videos en vivo.

En el pasado, han existido sitios web que aprovecharon las fallas de seguridad para agregar transmisiones de video en vivo desde cámaras de seguridad y DVR comprometidas, por lo que la herramienta de Fernández podría impulsar una nueva ola de portales similares.

Vulnerabilidad confirmada. No hay ataques detectados por el momento

Bleeping Computer se comunicó con algunos investigadores de seguridad para evaluar el desarrollo y la eficacia de la herramienta.

"Verifiqué el código y el script realiza sin problemas lo que se anuncia, proporcionando credenciales de texto claro para una variedad de modelos de DVR con solo pulsar un botón", Ankit Anubhav, investigador principal de NewSky Security, una empresa de ciberseguridad especializada en IoT seguridad, le dijo a Bleeping Computer.

"Además, los dorks de Shodan proporcionan una fuente precisa para obtener una lista de dispositivos potenciales que se pueden explotar, dando al atacante respuestas a dos preguntas críticas, a 'quién' atacar y 'cómo' atacar", dijo Anubhav, señalando que el repositorio de GitHub también contiene las búsquedas de Shodan que alguien necesitaría para identificar los dispositivos vulnerables.

Fernández no quiso hacer ningún comentario sobre este artículo, por temor a que lo malinterpreten o lo citen incorrectamente debido a su conocimiento insuficiente del idioma inglés.

Pero su inglés insuficiente también podría haber sido la razón por la cual el CVE-2018-9995 nunca fue popular entre los dueños de botnets de IoT en el último mes, desde que Fernández publicó su primera publicación sobre esta vulnerabilidad.

Un exploit tan fácil de explotar y que otorgue dicho acceso a los dispositivos no debería haber sido ignorado durante todas estas semanas.

No ha habido escaneos masivos para el CVE-2018-9995, y tampoco parece que se hayan realizado escaneos para el CVE-2018-9995 durante el lunes, después de que Fernández publicó esta herramienta.

"No veo a nadie escaneando Internet buscando por /login.rsp o /device.rsp", dijo Computer Andrew Morris, fundador de GreyNoise Intelligence, una compañía que cataloga la actividad del escáner en Internet a Bleeping Computer.

CVE-2018-9995, otra debacle como GoAhead

Pero Anubhav no ve que esta falla permanezca desconocida por mucho tiempo, especialmente después de la publicación de la prueba de concepto (PoC, por sus siglas en inglés) en GitHub.

"NewSky Security ha visto recientemente algunos ataques contra IoT en Internet, pero eran específicos contra un proveedor, es decir, CVE-2017-17215 (Huawei), CVE-2017-18046 (Dasan) y ChimayRed (Mikrotik)," comentó Anubhav. "Con el CVE-2018-9995 agregado a la ecuación, ahora se pueden esperar escaneos y daños al nivel de otro exploit usado contra IoT para diferentes proveedores, el CVE-2017-8225 (GoAhead)".

A lo que se refiere Anubhav es a una famosa vulnerabilidad que afecta el firmware de las cámaras de seguridad IP fabricadas por GoAhead, que la compañía vendió como productos de sin marca a muchas otras compañías. Durante los últimos dos años, estas cámaras han sido atacadas constantemente por la mayoría de las botnets de IoT que buscan nuevos dispositivos para infectar.

Con decenas de miles de DVR TBK disponibles en línea bajo diferentes marcas, una prueba de concepto disponible públicamente y una rutina fácil de explotar para la creación de scripts, el CVE-2018-9995 se convertirá seguramente en una de las vulnerabilidades más escaneadas y explotadas del año.

Mitigación posible

Por ahora, salvo modificaciones al código de la prueba de concepto, Anubhav dice que las empresas pueden detectar ataques y bloquearlos.

"El uso del código PoC se puede identificar fácilmente ya que usa un agente de usuario falso con los términos de 'Morzilla' y 'Pinux x86_128' mal escritos en lugar de Mozilla y Linux x86_128", señaló Anubhav.

"Sin embargo, los atacantes con habilidades básicas pueden cambiar el script para su propio uso, ya que el exploit es bastante sencillo de entender", dijo Anubhav, refiriéndose al hecho de que los atacantes pueden modificar la cadena utilizada como agente de usuario y otras constantes presentes en el script.

No obstante, las empresas aún pueden detectar intentos de acceso a /login.rsp o /device.rsp, rutas URL y bloquearlas, lo que permite el acceso a la interfaz de administración de la DVR solo para direcciones IP de confianza.

"Con el código hecho público, la pregunta no es si los dispositivos vulnerables se verán comprometidos, sino más bien cómo serán atacados próximamente", advirtió Anubhav.

Artículos relacionados: