Vulnerabilidades de evasión de autenticación, XSS y DoS en las cámaras CCTV de Robert Bosch permiten a los hackers espiar a los usuarios. Actualice ahora

Especialistas en ciberseguridad reportan el hallazgo de tres vulnerabilidades en las cámaras de alta definición fabricadas por la compañía tecnológica Robert Bosch. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de ataques de denegación de servicio (DoS), ataques de scripts entre sitios (XSS) y evasión de mecanismos de autenticación.

A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados acorde al Common Vulnerability Scoring System (CVSS).

CVE-2021-23852: La aplicación no controla adecuadamente el consumo de recursos internos del sistema, por lo que un administrador remoto puede enviar una solicitud HTTP GET especialmente diseñada, desencadenar el agotamiento de los recursos y llevar a un ataque DoS.

Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 5.9/10, mencionan los expertos en ciberseguridad.

CVE-2021-23847. La ausencia de una adecuada autenticación para la ejecución de comandos críticos mediante solicitudes HTTP permite a los actores de amenazas remotos extraer información confidencial o cambiar la configuración de un dispositivo objetivo mediante el envío de solicitudes especialmente diseñadas.  

La falla recibió un puntaje CVSS de 8.5/10 y permitiría a los hackers remotos evadir los procesos de autenticación.

CVE-2021-23854: La inadecuada desinfección de los datos proporcionados por el usuario en el parámetro de la página permite a los atacantes remotos engañar a las víctimas para que siga un enlace especialmente diseñado y ejecuten scripts arbitrarios mediante un sitio web vulnerable.

La vulnerabilidad recibió un puntaje CVSS de 5.3/10 y su explotación exitosa permitiría el despliegue de ataques XSS.

Estas tres fallas residen en los siguientes productos de Rober Bosch:

• Cámaras CPP4 HD / MP: 7,10
• Cámaras CPP6 HD / MP: 7.60, 7.61, 7.62, 7.70, 7.80
• Cámaras AVIOTEC: 7.61, 7.70, 7.72
• Cámaras CPP7 HD / MP: 7.60, 7.61, 7.62, 7.70, 7.72, 7.80
• Cámaras CPP7.3 HD / MP: 7.60, 7.61, 7.62, 7.70, 7.72, 7.80
• Cámaras CPP13 HD / MP: 7.75

Si bien estas fallas podrían ser explotadas por actores de amenazas remotos no autenticados, los expertos en ciberseguridad mencionan que no se han detectado intentos de explotación en escenarios reales. Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que se recomienda a los usuarios de dispositivos afectados actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).