La protección deficiente de los puertos pone en riesgo a millones de dispositivos de radio web

Más de 1 millón de dispositivos de radio por Internet Imperial y Dabman podrían ser víctimas de ataques de ejecución remota de código (RCE) gracias a un servicio Telnet indocumentado que utiliza credenciales de inicio de sesión predeterminadas débiles. La falla salió a la luz después de que los investigadores de Vulnerability Magazine (VM) realizaron un escaneo de puertos de rutina de algunos dispositivos. Apodado Telnetd, se descubrió que el servicio se ejecutaba en el puerto 23. Dado que Telnetd se basa en credenciales de inicio de sesión relativamente débiles, puede servir como puerta trasera para una amplia variedad de amenazas maliciosas.

Contraseña débil, pero sigue siendo una contraseña. ¿Es tan malo?

Si bien tener una contraseña débil es mejor que no tener contraseña, no es motivo para respirar aliviado. Las contraseñas son víctimas de ataques de fuerza bruta todo el tiempo. Las contraseñas débiles pueden neutralizarse en cuestión de minutos, mientras que las seguras pueden resultar notablemente resistentes en todo momento. En el caso de Imperial y Dabman, el Puerto 23 tiene una protección de contraseña débil. Si los atacantes logran descifrar este paso, obtendrían acceso de nivel de administrador al núcleo del sistema operativo BusyBox basado en Linux de los dispositivos. Los investigadores de VM tardaron 10 minutos en romper el pase del servicio Telnet. Una vez adentro, descubrieron que habían adquirido acceso a la raíz. Si los ciberdelincuentes obtuvieran dicho acceso, podrían hacer mucho daño como:

1. Soltar una carga maliciosa
2. Editar secuencias de audio, archivos y carpetas
3. Recupere la contraseña de wi-fi de la red doméstica o corporativa del usuario (siempre que el dispositivo de radio se haya conectado a una, es decir)
4. Distribuya ransomware y otras secuencias de comandos / herramientas maliciosas a través de la red Wi-Fi doméstica / corporativa comprometida.

Los peligros mencionados anteriormente son indicativos de todas las implicaciones que puede tener una contraseña débil en el peor de los casos. Es por eso que la vulnerabilidad recién encontrada ahora está disponible en la Base de datos de vulnerabilidades y exposiciones comunes bajo CVE-2019-13473.

En lo que respecta al alcance de los dispositivos afectados, de hecho es TAN malo. Por un lado, las radios web Imperial & Dabman son vendidas por Telestar Digital GmbH en Alemania. Sin embargo, también están disponibles en eBay y Amazon para usuarios domésticos y corporativos internacionales.

El acceso de administrador permitió a los investigadores excavar otra vulnerabilidad

Habiendo obtenido acceso de administrador a través del Puerto 23, los investigadores de VM encontraron una segunda falla en el cliente AirMusic a bordo de los dispositivos. La vulnerabilidad en cuestión (CVE-2019-13474) podría permitir la ejecución remota de código si se explota. El cliente AirMusic utiliza varios puertos (80 a 8080) para intercambiar comandos con su servicio web. Resultó que los investigadores tardaron una hora en tomar el control total de la comunicación web-cliente, incluida la opción de transmitir mensajes personalizados en vivo.

Similar a la botnet Mirai

La falla en los dispositivos Imperial y Dabman se originó en un puerto Telnet mal protegido. Irónicamente, la notoria Mirai Botnet surgió de la misma manera, creando conciencia sobre la seguridad de IoT o la falta de ella. Telestar Digital GmbH ya ha tomado medidas para hacer frente al problema. El servicio Telnetd redundante ya no está activo. Los parches binarios manuales se pueden descargar libremente desde el sitio web del distribuidor además de una actualización de firmware preparada para Wi-Fi.