Un informe de la empresa de ciberseguridad finlandesa F-Secure aseguró haber detectado hasta 18 vulnerabilidades en cámaras IP fabricadas por la empresa china Foscam.
Se llega a esta conclusión en un informe después de haber analizado dispositivos Foscam propiamente dichos y Opticam, otra marca bajo la cual se comercializan artículos fabricados por Foscam.
No obstante, se cree que los problemas podrían extenderse a otras trece marcas bajo las cuales también se venden los productos fabricados por la compañía china.
Según F-Secure, se dio a conocer a Foscam estas vulnerabilidades y se le dio unos meses de plazo para responder. Hasta la fecha del informe la empresa de cámaras no ha publicado solución alguna a estos inconvenientes que se señalaron.
La empresa que redactó el informe dio a conocer a Foscam las vulnerabilidades, pero no obtuvo respuesta
Desde merca2 se ha contactado con Foscam para conocer su versión respecto a lo apuntado en el informe. Al cierre de esta información aún no ha habido respuesta.
Una cámara IP permite enviar las imágenes que capta directamente a Internet o a una intranet y observar lo que está ocurriendo en tiempo real allí donde ella apunta.
Las vulnerabilidades que afirma haber encontrado F-Secure en las cámaras Foscam son suficientes según la empresa de seguridad para “comprometer todo el dispositivo”.
Si ese dispositivo además forma parte de una red corporativa, el hecho de comprometerlo puede permitir a quien ataque infectarlo con software malicioso para garantizar acceso remoto al mismo y de esta forma lograr acceder sin restricciones a toda la red de la empresa.
Las credenciales inseguras asignadas por defecto constituyen según quienes han elaborado el documento un problema extendido. Si además de esto resulta que dichas credenciales no son aleatorias y el usuario no las cambia, un atacante puede obtener acceso privilegiado al dispositivo.
Gracias a esta facilidad, se podría también introducir malware para hacer que ese dispositivo concreto pasara a formar parte de una botnet desde la cual lanzar ataques DDoS.
Imaginemos por tanto qué pasaría si se dan estas circunstancias, pero además las credenciales asignadas por el fabricante no se pudieran cambiar.
Por añadidura, si encima todas las contraseñas son iguales en todos los dispositivos amenazas como los gusanos pueden extenderse a todos ellos.
Se podría introducir ‘malware’ en el dispositivo comprometido para que pase a formar parte de una ‘botnet’ desde la cual lanzar ataques DDoS
Hay que decir llegados a este punto que Foscam emitió una nota donde recomendaba a sus clientes que cambiaran las contraseñas que vienen por defecto ante ciertas inquietudes por la seguridad que les habían llegado.
Si se da credibilidad a lo que se dice en esta nota publicada en la página de la empresa, entonces sí sería posible cambiar la contraseña que viene por defecto, el problema es que en esa nota no figura fecha. Por tanto no se sabe si es anterior o se publicó como respuesta al informe de F-Secure.
Otra vulnerabilidad es que los dispositivos analizados tienen una funcionalidad oculta de Telnet que, como tal, no está recogida en las especificaciones.
De hecho, los expertos de F-Secure creen directamente que “el uso de Telnet permite a un atacante encontrar mucho más fácilmente vulnerabilidades en el dispositivo, así como en la red local”.
El software de estas cámaras además supuestamente permite otorgar derechos para leer o modificar recursos críticos para la seguridad a un número más amplio de usuarios de lo que inicialmente se pretendía.
Un atacante podría acceder a información sensible, modificar el código para obtener privilegios o destruir datos
De nuevo, esto volvería a facilitar la vida al atacante que de este modo puede acceder a información sensible, modificar el código que haga falta para obtener privilegios o directamente destruir datos.
Las cámaras Foscam incluyen un cortafuegos que se supone que restringe el acceso a las mismas.
Pero está implementado de tal forma que aparte de algún otro fallo, se dedica a revelar información sobre la validez de la credencial, por lo que es posible llevar cabo ataques mediante fuerza bruta contra las credenciales de acceso a pesar del cortafuegos.
El cortafuegos está implementado de tal forma que se dedica a revelar información sobre la validez de la credencial
Este tipo de ataques también se verían facilitados por el hecho de no restringirse el intento de un usuario de entrar numerosas veces con una contraseña errónea.
Quien desee atacar este tipo de cámaras IP también tiene la posibilidad de confundir al vigilante si estos dispositivos se usan con fines de seguridad.
Y es que se detectó una vulnerabilidad que permite al asaltante desconectar o congelar la retransmisión. Se debe a un defecto de implementación del servicio RTSP.
Una vez que alguien consigue pararla, no permite hacer nuevas conexiones y lo único que puede hacer el usuario entonces es reiniciar para recuperar la retransmisión. Aunque es cierto que esto no afecta a todos los modelos de cámara analizados.
El asaltante puede llegar a desconectar o congelar la retransmisión. La única solución en este caso es reiniciar
Los consejos que F-Secure ofrece a Foscam se basan fundamentalmente en no hacer lo que se supone han hecho dando lugar a esas vulnerabilidades que recoge el informe.
A las empresas que se hagan con cámaras IP como las que ofrece esta empresa les sugiere, en primer lugar, que solo instalen las cámaras en una red destinada a tal efecto. Una VLAN podría ser una solución.
El objetivo final es que el dispositivo no se localice en Internet y, a partir de ahí, alguien pueda dedicarse a explotar sus vulnerabilidades.
Aparte de esto, se recomienda además segmentar la red estableciendo niveles de seguridad bien definidos, investigar los antecedentes del vendedor del producto y cerciorarse de que el dispositivo se puede parchear en caso necesario, entre otras medidas.
*Ampliación a 12-6-2017 (18.48): Foscam ha respondido a merca2. Consideran que ciertos aspectos técnicos señalados por F-Secure en su informe como vulnerabilidades en realidad «no influirán en el uso que hagan los clientes» del producto «ni en la seguridad» del mismo.
Dentro de esta categoría, entre los mencionados en este artículo, afirman rotundamente que hay problemas que directamente «no existen». Por ejemplo, la funcionalidad oculta de Telnet mencionada en esta información. «La funcionalidad de Telnet de todos los dispositivos está cerrada y no puede usarse».
Otros peligros de los que alerta el informe de F-Secure a los que nos hemos referido más arriba no podrían darse porque, según ellos, Foscam ya ha desarrollado la suficiente protección.
En concreto, dicen que «es preceptivo cambiar el nombre de usuario y la clave antes de usar un dispositivo Foscam». Esta última debe tener más de 6 bits combinando letras y números. Eso respecto a la queja de las claves de escasa seguridad asignadas por defecto.
Ahora bien, la cuestión es cómo se puede poner en práctica este consejo si como se afirma en el documento de F-Secure las claves asignadas por defecto no pueden cambiarse.
Por lo que se refiere a la falta de restricción a la hora de introducir múltiples veces una contraseña errónea, Foscam asegura que sí existe tal restricción, de tal forma que si alguien pretende introducir una clave errónea de acceso durante 30 segundos, el dispositivo se bloqueará impidiendo el ingreso.
Que un atacante pueda detener o congelar la retransmisión de una cámara como se ha mencionado en el artículo, lo que ellos llaman «denegación de servicio de la retransmisión de vídeo RTSP» solo es posible si «se ‘hackea’ la cámara a propósito».
No obstante, ello haría que la cámara IP «no mostrara el vídeo correctamente» pero el atacante «no puede obtener información del usuario».
Además, dicen valorar el informe de la compañía de seguridad finlandesa, pues «ayuda a Foscam a mejorar». Aseguran que continuarán «optimizando y fortaleciendo» la seguridad de su producto y, en concreto, que «pronto estará disponible un ‘firmware’ para mejorar la seguridad».
Con esta mejora, «se eliminará la funcionalidad de Telnet desactivada y se fortalerá la capacidad de protección de RTSP».
