09 de agosto de 2024Ravie LakshmananSeguridad de IoT / Seguridad inalámbrica Los investigadores de ciberseguridad han descubierto debilidades en los altavoces inteligentes Sonos que podrían ser explotadas por actores maliciosos para espiar clandestinamente a los usuarios. Las vulnerabilidades «condujeron a una ruptura total en la seguridad del proceso de arranque seguro de Sonos en una amplia gama de dispositivos y a la posibilidad de comprometer de forma remota varios dispositivos por aire», dijeron los investigadores de seguridad de NCC Group, Alex Plaskett y Robert Herrera. La explotación exitosa de una de estas fallas podría permitir a un atacante remoto obtener una captura de audio encubierta de los dispositivos Sonos mediante un ataque por aire. Afectan a todas las versiones anteriores a la versión 15.9 de Sonos S2 y la versión 11.12 de Sonos S1, que se enviaron en octubre y noviembre de 2023. Los hallazgos se presentaron en Black Hat USA 2024. A continuación, se incluye una descripción de los dos defectos de seguridad: CVE-2023-50809: una vulnerabilidad en la pila Wi-Fi de Sonos One Gen 2 no valida correctamente un elemento de información mientras negocia un protocolo de enlace de cuatro vías WPA2, lo que lleva a la ejecución remota de código CVE-2023-50810: una vulnerabilidad en el componente U-Boot del firmware de Sonos Era-100 que permitiría la ejecución persistente de código arbitrario con privilegios del kernel de Linux NCC Group, que realizó ingeniería inversa del proceso de arranque para lograr la ejecución remota de código en Sonos Era-100 y los dispositivos Sonos One, dijo que CVE-2023-50809 es el resultado de una vulnerabilidad de corrupción de memoria en el controlador inalámbrico de Sonos One, que es un chipset de terceros fabricado por MediaTek. «En el controlador wlan, existe una posible escritura fuera de límites debido a una validación de entrada incorrecta», dijo MediaTek en un aviso para CVE-2024-20018. «Esto podría llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación». El acceso inicial obtenido de esta manera allana el camino para una serie de pasos posteriores a la explotación que incluyen la obtención de un shell completo en el dispositivo para obtener control total sobre el altavoz inteligente en el contexto de la raíz, seguido de la implementación de un nuevo implante Rust capaz de capturar audio del micrófono dentro de una proximidad física cercana al altavoz. La otra falla, CVE-2023-50810, se relaciona con una cadena de vulnerabilidades identificadas en el proceso de arranque seguro para vulnerar los dispositivos Era-100, lo que hace posible eludir los controles de seguridad para permitir la ejecución de código no firmado en el contexto del núcleo. Esto podría luego combinarse con una falla de escalada de privilegios de N-day para facilitar la ejecución de código de nivel ARM EL3 y extraer secretos criptográficos respaldados por hardware. «En general, hay dos conclusiones importantes que se pueden extraer de esta investigación», dijeron los investigadores. «La primera es que los componentes OEM deben tener el mismo estándar de seguridad que los componentes internos. Los proveedores también deben realizar modelos de amenazas de todas las superficies de ataque externas de sus productos y asegurarse de que todos los vectores remotos hayan sido sometidos a una validación suficiente». «En el caso de las debilidades del arranque seguro, es importante validar y realizar pruebas de la cadena de arranque para garantizar que no se introduzcan estas debilidades. Se deben considerar los vectores de ataque basados ​​en hardware y software». La revelación se produce cuando la empresa de seguridad de firmware Binarly reveló que cientos de productos UEFI de casi una docena de proveedores son susceptibles a un problema crítico en la cadena de suministro de firmware conocido como PKfail, que permite a los atacantes eludir el arranque seguro e instalar malware. En concreto, descubrió que cientos de productos utilizan una clave de plataforma de prueba generada por American Megatrends International (AMI), que probablemente se incluyó en su implementación de referencia con la esperanza de que fuera reemplazada por otra clave generada de forma segura por entidades posteriores en la cadena de suministro. «El problema surge de la ‘clave maestra’ de arranque seguro, conocida como clave de plataforma (PK) en la terminología UEFI, que no es confiable porque es generada por proveedores independientes de BIOS (IBV) y compartida entre diferentes proveedores», dijo, describiéndolo como un problema entre silicio que afecta tanto a las arquitecturas x86 como a las ARM. «Esta clave de plataforma […] A menudo, los fabricantes de equipos originales (OEM) o los proveedores de dispositivos no reemplazan la clave privada, lo que da como resultado que los dispositivos se envíen con claves que no son de confianza. Un atacante con acceso a la parte privada de la clave privada puede eludir fácilmente el arranque seguro manipulando la base de datos de claves de intercambio de claves (KEK), la base de datos de firmas (db) y la base de datos de firmas prohibidas (dbx)». Como resultado, PKfail permite a los actores maliciosos ejecutar código arbitrario durante el proceso de arranque, incluso con el arranque seguro habilitado, lo que les permite firmar código malicioso y entregar un kit de arranque UEFI, como BlackLotus. «El primer firmware vulnerable a PKfail se lanzó en mayo de 2012, mientras que el último se lanzó en junio de 2024», dijo Binarly. «En general, esto hace que este problema de la cadena de suministro sea uno de los más duraderos de su tipo, con una duración de más de 12 años». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.