Dispositivos de videoconferência podem ser exploradas remotamente por hackers

Vulnerabilidades de segurança em alguns produtos de videoconferência conectados podem permitir que hackers controlem remotamente o equipamento e usem-no como uma ferramenta de rastreamento.

As vulnerabilidades de injeção de comandos do SO remoto afetam quatro produtos de colaboração empresarial da Lifesize – Lifesize Team, Lifesize Room, Lifesize Passport e Lifesize Networker e foram descobertos por pesquisadores da empresa de segurança Trustwave.

A exploração da vulnerabilidade exige que invasores tenham acesso ao firmware dos produtos Lifesize, o que também exige que eles saibam o número de série do dispositivo.

Mas se isso puder ser obtido, os pesquisadores dizem que é “trivial” obter controle do dispositivo com algumas ferramentas de software e informações da página de suporte da Lifesize, que pode ajudar a fornecer um backdoor para o dispositivo. Os dispositivos também estão ligados a uma conta de suporte padrão que vem com uma senha padrão – algo que muitos usuários não terão mudado, fornecendo aos atacantes uma peça crucial do quebra-cabeça do compromisso.

A vulnerabilidade inicial decorre do que os pesquisadores descrevem como um erro de programação que permite que a entrada do usuário ocorra sem ser restringido pela higienização que envolve as funções do shell. Combinando isso com um erro de escalonamento de privilégios, é possível executar comandos do sistema, fornecendo aos invasores uma posição segura na rede em que o produto Lifesize está.

Combine esse escalonamento de privilégios com uma vulnerabilidade de injeção de comando e é possível obter total persistência no dispositivo.

“Com isso, você tem acesso a tudo. Qualquer vídeo ou áudio armazenado nessa máquina estará disponível de forma bastante trivial”, disse Ed Williams, diretor do departamento de pesquisa da Spiderwabs da Trustwave.

“Essa máquina pode ser usada como uma plataforma de lançamento para atacar outras máquinas. Digamos que este equipamento de áudio esteja voltado para a Internet, você pode obter acesso ao sistema operacional subjacente através desta vulnerabilidade. De um ataque externo, você pode ganhar acesso interno pior cenário, mas potencialmente muito sério “.

A natureza do ataque significa que seria difícil dizer se um dispositivo foi comprometido, o que significa que há potencial de que essa vulnerabilidade já tenha sido explorada.

“Seria difícil saber se um dispositivo foi acessado, porque esses tipos de dispositivos não têm um registro muito bom. Como resultado, é difícil ver o que está acontecendo, por isso seria difícil descobrir se isso é a causa raiz de um ataque. Os atacantes provavelmente estarão procurando e usando isso “, disse Williams.

Lifesize disse que vai emitir um patch para os produtos afetados.

“Estamos lidando proativamente com a vulnerabilidade e corrigindo automaticamente todos os sistemas Icon 220 Series que estão conectados ao Lifesize Cloud. Para dispositivos não conectados à nuvem, os clientes precisarão implantar o hotfix e trabalharemos com cada cliente afetado para resolver o problema.” questão tão rapidamente quanto possível “, disse Bobby Beckmann, diretor de tecnologia da Lifesize.

Para ajudar a proteger contra ataques que exploram a vulnerabilidade, a Tenable pediu aos usuários que alterem as senhas padrão dos dispositivos. Também é recomendável que os usuários estejam cientes de quais dispositivos estão em sua rede e se estão atualizados

“Saiba o que você está executando e se é explorável pela internet ou internet enfrentando. Se for, atualize o firmware ou tire-o da internet. Certifique-se de que os dispositivos estejam em uma rede separada, então se alguém conseguir entrar nele , isso é o máximo que eles podem conseguir “, disse Williams.

A Trustwave publicou uma análise técnica completa da vulnerabilidade no blog da empresa

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.