Hasta 46 mil grabadoras digitales de video (DVR, por sus siglas en inglés) con acceso desde Internet podrían ser fácilmente comprometidas.

De acuerdo con investigadores en seguridad de la firma de inteligencia en vulnerabilidades Risk Based Security (RBS), todos los dispositivos comparten la misma vulnerabilidad: aceptan una contraseña, contenida dentro del código e invariable para el usuario con los privilegios más elevados, la cuenta root (cuenta de administración).

Usar contraseñas contenidas dentro del código (hardcoded) y cuentas de soporte ocultas era una práctica común hace una década, cuando la seguridad no representaba un rol importante en el diseño de un producto y en el desarrollo. En años recientes, esa mentalidad ha cambiado y muchos proveedores, incluyendo grandes fabricantes de equipos de redes y de seguridad, están emitiendo frecuentemente actualizaciones de firmware para reparar fallas básicas descubiertas por auditorías de seguridad internas y externas.

Pero hay algunos proveedores que parecen no estar al tanto, como Zhuhai RaySharp Technology, un fabricante chino de sistemas de videovigilancia que incluye cámaras de video y sus respectivas grabadoras.

Los dispositivos RaySharp DVR proporcionan una interfaz web mediante la cual los usuarios pueden ver la grabación de la cámara, administrar videograbaciones, preferencias del sistema y controlar el movimiento de la cámara mediante el pan-tilt-zoom (PTZ) de las cámaras de seguridad conectadas. El acceso a esta interfaz de administración proporciona al atacante un control total sobre el sistema de vigilancia.

La interfaz web de los DVR es gestionada por un servidor web embebido, el cual se ejecuta sobre un sistema operativo basado en Linux, el firmware. Al analizar los scripts de CGI encargados de la autenticación del usuario para la interfaz web, los investigadores de RBS encontraron que contenían una rutina para verificar si el nombre de usuario proporcionado es "root" y la contraseña "519070".

"Si éstas credenciales son ingresadas, se concede acceso total a la interfaz web", los investigadores de RBS dijeron en un reporte cuya publicación ya está programada.

RaySharp asegura en su sitio web que empaqueta más de 60 mil DVR a nivel global cada mes, pero lo peor es que no sólo los productos propiedad de RaySharp son vulnerables.

La compañía china también crea grabadoras digitales de video y firmware para otras compañías las cuales son posteriormente vendidas en el mundo bajo su propia marca. Los investigadores de RBS confirmaron que algunos productos de König, Swann Communications, COP-USA, KGUARD Security, Defender (una marca de Circus World Displays) y LOREX Technology, una subsidiaria de FLIR Systems, contienen la mismo contraseña embebida en el código para el usuario de administración.