Las cámaras de vigilancia CCTV marca Siemens basadas en IP se acaban de sumar a la lista de dispositivos conectados a Internet vulnerables a ataques.
Poner a disposición un parche no significa que el problema desaparecióEn esta instancia, según un alerta de seguridad emitido por Siemens, la vulnerabilidad conocida como CVE-2016-9155 podría ser explotada en forma remota por atacantes para engañar a las cámaras y lograr que revelen contraseñas de administrador:
La última actualización de cámaras CCTV basadas en IP de SIEMENS corrige una vulnerabilidad que podría permitir a un atacante remoto obtener credenciales administrativas del servidor web integrado.
Hasta que se puedan aplicar los parches, se recomienda restringir el acceso al servidor web integrado con los mecanismos apropiados.
Los siguientes modelos de cámaras CCTV, elaborados por Vanderbilt Industries, que adquirió la línea de productos de seguridad de Siemens en junio del año pasado, podrían estar en riesgo:
- CCMW3025: todas las versiones anteriores a 1.41_SP18_S1
- CVMW3025-IR: todas las versiones anteriores a 1.41_SP18_S1
- CFMW3025: todas las versiones anteriores a 1.41_SP18_S1
- CCPW3025: todas las versiones anteriores a 0.1.73_S1
- CCPW5025: todas las versiones anteriores a 0.1.73_S1
- CCMD3025-DN18: todas las versiones anteriores a v1.394_S1
- CCID1445-DN18: todas las versiones anteriores a v2635
- CCID1445-DN28: todas las versiones anteriores a v2635
- CCID1445-DN36: todas las versiones anteriores a v2635
- CFIS1425: todas las versiones anteriores a v2635
- CCIS1425: todas las versiones anteriores a v2635
- CFMS2025: todas las versiones anteriores a v2635
- CCMS2025: todas las versiones anteriores a v2635
- CVMS2025-IR: todas las versiones anteriores a v2635
- CFMW1025: todas las versiones anteriores a v2635
- CCMW1025: todas las versiones anteriores a v2635
La buena noticia es que Vanderbilt lanzó actualizaciones para los dispositivos vulnerables. Y, también, que hasta ahora no hay evidencia de que se haya explotado la vulnerabilidad.
Sin embargo, hay malas noticias.
Por empezar, suena como si el ataque fuera relativamente trivial para un criminal, que debería enviar una solicitud HTTP cuidadosamente formada pero simple. Adicionalmente, es fácil predecir que muchos de los dispositivos vulnerables no tendrán los parches aplicados de manera rápida (si es que se los aplican), y este es un problema común en la Internet de las Cosas.
Poner a disposición un parche no significa que el problema desapareció.
Y ese es un problema. En el caso de las cámaras CCTV de Siemens, se usan alrededor del mundo en tiendas, en la industria de la salud y en instalaciones gubernamentales... No son exactamente el tipo de organizaciones que podrían darse el lujo de que sus credenciales de administrador se filtren.
Claro que esta no es la primera vez que se encuentran fallas en cámaras de monitoreo CCTV que podrían ser explotadas por atacantes.
Por ejemplo, el mes pasado hubo un ataque DDoS masivo contra los servidores de Dyn, proveedor de servicios de DNS para empresas; esto interrumpió el acceso a sitios conocidos como Twitter, Pinterest, Reddit y PlayStation Network. El ataque fue perpetrado por la botnet Mirai, conformada por dispositivos IoT comprometidos, incluyendo cámaras web.
A medida que se expande, la Internet de las Cosas (inseguras) plantea un riesgo mayor para empresas y usuarios. ESET advirtió a principios de año que esto sería una tendencia, ya que IoT haría apariciones más frecuentes en los titulares de seguridad:
De cara al futuro inmediato, el desafío de la seguridad en IoT no se orienta únicamente al hogar. La tecnología sigue avanzando y continuamente se puede ver cómo los gobiernos, las industrias y los mercados en general se encuentran virando más hacia la interconectividad de todos los equipos, sistemas y servicios. Desde investigaciones de mercado hasta sistemas de tráfico, todo se está interconectando a través de tecnologías ya conocidas y, en ciertas ocasiones, sin la correcta implementación de protocolos de seguridad.
Está claro que la noticia de las cámaras CCTV vulnerables fue un agravante en el mal mes que tuvo Siemens en lo que respecta a seguridad. A principios de mes, el ICS-CERT del Departamento de Seguridad Nacional de los emitió un alerta diciendo que productos de control industrial desarrollados por esta compañía sufrían de una vulnerabilidad de elevación de privilegios local, que podría dejar a equipamiento SCADA susceptible a ataques.
A mí me parece que cuando se trata de seguridad en IoT, las cosas van a empeorar antes de que haya alguna esperanza de que mejoren.