no es vox
El Akuvox E11 se anuncia como un videoportero, pero en realidad es mucho más que eso. El dispositivo conectado a la red abre las puertas de los edificios, proporciona transmisiones de video y micrófono en vivo, toma una foto y la carga cada vez que alguien pasa, y registra cada entrada y salida en tiempo real. El motor de búsqueda de dispositivos de Censys muestra que aproximadamente 5000 de estos dispositivos están expuestos a Internet, pero es probable que haya muchos más que Censys no pueda ver por varias razones.
Resulta que este dispositivo omnipotente y omnisciente está plagado de agujeros que brindan múltiples vías para poner datos confidenciales y capacidades poderosas en manos de los actores de amenazas que se toman el tiempo para analizar su funcionamiento interno. Eso es precisamente lo que hicieron los investigadores de la firma de seguridad Claroty. Los hal lazgos son lo suficientemente serios como para que cualquier persona que use uno de estos dispositivos en una casa o edificio deba hacer una pausa en la lectura de este artículo, desconectar su E11 de Internet y evaluar a dónde ir desde allí.
Las 13 vulnerabilidades encontradas por Claroty incluyen una falta de autenticación para funciones críticas, falta de autorización o autorización incorrecta, claves codificadas que se cifran utilizando claves accesibles en lugar de cifradas criptográficamente, y la exposición de información confidencial a usuarios no autorizados. A pesar de lo malas que son las vulnerabilidades, su amenaza se ve agravada por el fracaso de no es vox—un proveedor líder con sede en China de intercomunicadores inteligentes y sistemas de entrada de puertas— para responder a múltiples mensajes de Claroty, el Centro de coordinación CERT y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un lapso de seis semanas. Claroty y CISA publicaron públicamente sus hallazgos el jueves aquí y aquí.
Todas menos una de las vulnerabilidades permanecen sin corregir. Los representantes de Akuvox no respondieron a dos correos electrónicos en busca de comentarios para este artículo.
¿Qué está haciendo este dispositivo en mi oficina?
Los investigadores de Claroty se toparon por primera vez con el E11 cuando se mudaron a una oficina con uno preinstalado en la puerta. Dado su acceso a las idas y venidas de empleados y visitantes y su capacidad para espiar y abrir puertas en tiempo real, decidieron mirar debajo del capó. La primera bandera roja que encontraron los investigadores: las imágenes tomadas cada vez que se detectaba movimiento en la puerta se enviaban por FTP sin cifrar a un servidor Akuvox en un directorio que cualquiera podía ver y, desde allí, descargar las imágenes enviadas por otros clientes.
“Nos sorprendió mucho cuando empezamos y vimos el FTP”, dijo en una entrevista Amir Preminger, vicepresidente de investigación en el grupo de investigación Team82 de Claroty. “Nunca imaginamos encontrar un FTP a la vista. Primero bloqueamos el dispositivo, lo separamos de todo, lo colocamos en su propia isla y lo usamos de forma independiente. Estamos en el proceso de reemplazarlo”.
Mientras continuaba el análisis, el comportamiento del servidor FTP cambió. El directorio ya no se puede ver, por lo que presumiblemente tampoco se puede descargar. Sin embargo, sigue existiendo una amenaza importante, ya que las cargas FTP no están cifradas. Eso significa que cualquier persona capaz de monitorear la conexión entre un E11 y Akuvox puede interceptar cargas.
Otro hallazgo importante de los investigadores fue una falla en la interfaz que permite al propietario usar un navegador web para iniciar sesión en el dispositivo, controlarlo y acceder a transmisiones en vivo. Si bien la interfaz requiere credenciales para acceder, Claroty encontró rutas ocultas que daban acceso a algunas de las funciones web sin contraseña. La vulnerabilidad, rastreada como CVE-2023-0354, funciona contra dispositivos que están expuestos a Internet usando una dirección IP estática. Los usuarios hacen esto para conectarse al dispositivo de forma remota mediante un navegador.
Esa no es la única vulnerabilidad que permite el acceso remoto no autorizado a un E11. El dispositivo también funciona con una aplicación de teléfono llamada SmartPlus que está disponible para Androide y iOS. Permite el acceso remoto incluso cuando un E11 no está directamente expuesto a Internet, sino que está detrás de un firewall que usa Traducción de Direcciones de Red.
SmartPlus se comunica con el intercomunicador mediante el protocolo de Iniciacion de Sesionun estándar abierto utilizado para comunicaciones en tiempo real, como llamadas de voz y video, mensajería instantánea y juegos.