ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha alertado sobre una serie de vulnerabilidades encontradas en los dispositivos Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) y eLAN-RF-003 que se utilizan en casas conectadas para gestionar precisamente otros dispositivos conectados.
Debido a los agujeros de seguridad encontrados por ESET, los ciberdelincuentes podrían llevar a cabo ataques MitM, espiar a las víctimas, crear puertas traseras o acceder como administradores a los dispositivos y a sus contenidos. En los peores casos, los ciberdelincuentes podrían llegar a tomar el control de las unidades centrales y de todos los dispositivos conectados a ellas.
ESET ya avisó en 2018 a los fabricantes de estos dispositivos, que desde entonces han lanzado parches de actualización para la mayoría de sus productos. Sin embargo, la compañía no había informado hasta ahora debido a las investigaciones que están en curso sobre otras vulnerabilidades existentes. Debido a la situación actual que vivimos, y al uso masivo de dispositivos IoT, ESET ha recopilado la información acerca de estas vulnerabilidades con el objetivo de alertar a los usuarios de dispositivos afectados para que apliquen las últimas actualizaciones e incrementen su protección.
“Hemos observado que las vulnerabilidades en dispositivos IoT siguen siendo muy numerosas. Nuestra investigación muestra problemas en la configuración y fallos en el cifrado y en la autenticación”, avisa Ondrej Kubovic, especialista en seguridad y concienciación de ESET. “Queremos destacar que estos defectos no son exclusivos de los dispositivos más baratos, sino que se encuentran también en aparatos de gama alta”.
Uno de los dispositivos en los que se han encontrado vulnerabilidades es el Fibaro Home Center Lite, un controlador de automatismos para el hogar diseñado para controlar una amplia variedad de dispositivos periféricos en una casa conectada. Las vulnerabilidades facilitarían la entrada de los ciberdelincuentes, que podrían crear una puerta trasera accediendo mediante SSH y conseguir el control total del dispositivo. Después de avisar al fabricante, esta incidencia se resolvió rápidamente.
Otro de los dispositivos, el HomeMatic CCU2, la unidad central del sistema eQ-3, también mostraba vulnerabilidades importantes, ya que permitía la ejecución remota de código como root sin necesidad de autenticación. Esto implica que los ciberdelincuentes podrían conseguir el control de los dispositivos CCU2, pero también de otros conectados a la red. El agujero de seguridad se resolvió después de avisar al fabricante.
El tercer dispositivo vulnerable era el eLAN-RF-003, diseñado como una unidad central para una casa conectada con el objetivo de permitir el control de una variedad de sistemas domóticos a través de una aplicación instalada en el teléfono, en el reloj inteligente, en la tablet o incluso en la TV. ESET comprobó la seguridad del dispositivo junto con dos dispositivos periféricos del mismo fabricante: bombillas LED sin cable y un enchufe atenuador. Los análisis mostraron que conectar el dispositivo a Internet o incluso a la red local podría ser potencialmente peligroso para el usuario debido a las vulnerabilidades que presentaba, entre las que se encuentran la ejecución de comandos sin necesidad de autenticarse o posibilidades de comunicación por radio con otros dispositivos para replicar ataques. El fabricante resolvió alguna de estas vulnerabilidades y luego decidió desarrollar nuevas versiones del dispositivo.
Para conocer todos los detalles de la investigación sobre estos dispositivos, se puede visitar el blog de ESET.