Los investigadores de seguridad han descubierto un total de diez vulnerabilidades en la plataforma en la nube OvrC. Esto hizo posible que los atacantes accedieran, controlaran e interrumpieran dispositivos como cámaras, enrutadores o dispositivos domésticos inteligentes.
Las vulnerabilidades fueron reportadas al fabricante SnapOne, quien ahora las ha solucionado. Sin embargo, a los investigadores de seguridad les gustaría señalar los riesgos de seguridad fundamentales que conlleva el uso de dispositivos IoT, que a menudo no están diseñados teniendo en cuenta la ciberseguridad.
Anzeige
Secuencia del ataque a OvrC
- Encuentre todos los dispositivos IoT conectados a la nube (CVE-2023-28412): cuando los atacantes envían una dirección MAC bastante fácil de adivinar, los servidores OvrC devuelven un resultado diferente dependiendo de si el dispositivo ya está reclamado, no reclamado o no existe. Esto permite a los ciberdelincuentes identificar todos los dispositivos conectados.
- Verifique cada dispositivo identificadosi ya está siendo reclamado por un usuario. Si este es el caso, el dispositivo se desconecta de la cuenta y ya no se “reclama” (CVE-2024-50381, CVE-2023-28649): los dispositivos se pueden liberar nuevamente a través del concentrador OvrC. Cuando la nube OvrC recibe el comando correspondiente, no verifica si los dispositivos especificados están realmente conectados al concentrador e inmediatamente los declara. Esto permite a los atacantes desconectarse y luego reclamar todos los dispositivos.
- Reclama el dispositivo y forzar una conexión a la cuenta del atacante (CVE-2023-31241): para que solo los propietarios reales conecten sus dispositivos, deben verificarse con la dirección MAC y el número de serie del dispositivo. Sin embargo, la vulnerabilidad encontrada permitió identificarse utilizando únicamente la dirección MAC y así hacerse con el control del dispositivo.
- Controlar el dispositivo IoT a través de la nube OvrC. Como usuario aparentemente legítimo, los atacantes ahora pueden controlar el dispositivo.
- El “bono” es la ejecución del código posible de forma remota (CVE-2023-31240, CVE-2023-25183). Durante su investigación, los investigadores de seguridad descubrieron un usuario oculto e integrado en el sistema: el superusuario. Sus datos de inicio de sesión también fueron fáciles de determinar a partir de la dirección MAC y la etiqueta de servicio. Después de iniciar sesión, cualquier comando se puede ejecutar en el dispositivo concentrador.
Acerca de Claroty Claroty, la empresa de ciberseguridad industrial, ayuda a sus clientes globales a descubrir, proteger y administrar sus activos de OT, IoT e IIoT. La plataforma integral de la compañía se integra a la perfección con la infraestructura y los procesos existentes de los clientes y ofrece una amplia gama de controles de ciberseguridad industrial para transparencia, detección de amenazas, gestión de riesgos y vulnerabilidades y acceso remoto seguro, con un costo total de propiedad significativamente reducido.
Artículos relacionados con el tema