Millones en riesgo por las contraseñas predeterminadas de la cámara web.

¿Recuerdas todas esas cámaras web que se infectaron con la botnet Mirai IoT hace dos años? Bueno, Hangzhou Xiongmai Technology Co., Ltd (Xiongmai), el fabricante chino que hizo muchas de ellas, está de vuelta con otra vulnerabilidad que pone en riesgo a millones de dispositivos en todo el mundo una vez más.

Xiongmai finalmente solucionó la vulnerabilidad en sus productos que permitía a los autores de Mirai poner en peligro una cantidad desconocida de dispositivos y poner a internet en un punto muerto. Sin embargo, eso no significa que los productos de la compañía no sean impermeables. La nueva vulnerabilidad crea la oportunidad para que los nuevos atacantes hagan otra red de bots de IoT grande y potente.

La vulnerabilidad se encuentra en una característica llamada XMEye P2P Cloud, que está habilitada en todos los dispositivos Xiongmai de forma predeterminada. Permite que las personas accedan a sus dispositivos de forma remota a través de Internet, para que puedan ver lo que sucede en sus cámaras IP o configurar la grabación en sus DVR.

Mediante una variedad de aplicaciones, los usuarios inician sesión en sus dispositivos a través de la infraestructura de nube de Xiongmai. Esto significa que no tienen que configurar complejos reenvíos de puerto de firewall o reglas UPnP en sus enrutadores domésticos, pero también significa que abre un agujero en la red del usuario. Eso coloca la responsabilidad en Xiongmai para hacer que el sitio sea seguro. Pero no fue así.

Un asesor técnico de SEC Consult, una empresa consultora de ciberseguridad que investigó el servicio, recientemente presentó una letanía de problemas de seguridad.

Primero, Xiongmai usa una ID única para cada dispositivo que se basa en su dirección MAC, que está en un formato estándar, no aleatorio. Debido a que utiliza direcciones MAC en un rango conocido que asciende de manera incremental, es relativamente fácil compilar un programa que verifique estas direcciones e identifique aquellas que están en línea. SEC Consult lo hizo, y encontró nueve millones de ellos, repartidos por todo el mundo.

En segundo lugar, utiliza contraseñas de administrador predeterminadas y en blanco para cada dispositivo y no requiere que el usuario las cambie durante la instalación. Si los usuarios son lo suficientemente inteligentes como para hacerlo, los hackers no necesitan ser disuadidos, porque también hay una cuenta de usuario no documentada que se puede usar para iniciar sesión en el dispositivo.

Una vez que tienen acceso, un pirata informático puede hacer más que ver el flujo de video de un dispositivo. También pueden obligarlo a instalar una actualización de firmware y proporcionarle su propia versión maliciosa, ya que el dispositivo no requiere que el firmware esté firmado con una clave digital. El resultado de esto es que pueden secuestrar el dispositivo para siempre. El usuario no puede simplemente apagarlo y encenderlo nuevamente.

SEC Consult dice que esto podría usarse para crear otra botnet masiva, más grande que Mirai. También podría usarse para espiar cámaras por tiempo indefinido y, finalmente, podría crear un punto de apoyo para que los atacantes comprometan otros dispositivos en las organizaciones.

¿Estás infectado? No se moleste en buscar 'Xiongmai' en la etiqueta de su dispositivo para averiguarlo, ya que la compañía es un OEM que fabrica equipos para docenas de otros proveedores. Hay una lista en la publicación del blog SEC Consult que describe a los proveedores, y una lista de dominios y direcciones IP utilizadas por los dispositivos que podrían ser útiles para los administradores de red.

SEC Consult dice que ha intentado ponerse en contacto con Xiongmai varias veces desde marzo de 2018, pero recibió respuestas insatisfactorias y ha detallado el cronograma aquí .

La consultora de seguridad dijo:

Hemos trabajado junto con ICS-CERT para abordar este problema desde marzo de 2018. ICS-CERT hizo grandes esfuerzos para ponerse en contacto con Xiongmai y el CNCERT / CC chino e informarles sobre los problemas. Aunque Xiongmai tenía un aviso de siete meses, no han solucionado ninguno de los problemas.

Agregó que la seguridad "simplemente no es una prioridad para ellos", y recomendó a las personas que dejen de usar los dispositivos de Xiongmai y sus clientes OEM, y también recomendó al gobierno de EE. UU. Que imponga una prohibición a la adquisición federal de productos Xiongmai. Presumiblemente, esto también hará que la venta de estos dispositivos sea problemática en California, donde recientemente se aprobó una ley que prohíbe las contraseñas predeterminadas donde el fabricante no las obliga a cambiarlas.