Bitdefender descubre vulnerabilidades críticas en cámaras de videovigilancia de bebés
El equipo de investigación de Bitdefender ha descubierto varias vulnerabilidades en la cámara de videovigilancia de bebés Victure IPC360, así como en la infraestructura Victure Cloud Platform utilizada por otros proveedores.
Las vulnerabilidades, si se ejecutan, permitirían a los hackers obtener el control total de la cámara (incluido el sistema de archivos y las transmisiones de audio y video), así como secuestrar cualquier cámara Victure IPC360 alojada en la nube asociada de Amazon Web Services (AWS).
Dado que las vulnerabilidades descubiertas están en el servidor, ningún firewall ni acción del usuario resolverá los problemas hasta que la cámara y la infraestructura asociada estén completamente parcheadas. Por tanto, hasta que haya una solución, Bitdefender recomienda a los usuarios que no utilicen la cámara Victure IPC360 con el fin de proteger su privacidad y seguridad.
Aspectos clave:
- Falta de control de acceso en los buckets de AWS que Victure IPC360 utiliza para almacenar videos, lo que brinda a los hackers la capacidad de descifrar y acceder a cualquier archivo almacenado en el bucket. Un usuario autenticado puede solicitar al servidor información sobre las cámaras propiedad de cualquier usuario.
- Una vez que el hacker tiene información de cualquier cámara a la que desea atacar, puede emitir comandos para secuestrar completamente el dispositivo de forma remota y desactivar el cifrado de transmisiones o incluso obtener transmisiones de video en vivo.
- En la red local, Victure IPC360 tiene dos servicios (RTSP y ONVIF) que están deshabilitados por defecto, pero que pueden habilitarse sin autenticación. Después de habilitarlos, se podrá acceder al servicio ONVIF, que tiene una vulnerabilidad que un atacante puede aprovechar para obtener la ejecución del código.
El informe de esta investigación de Bitdefender está disponible en este enlace.