Un simple bug ha expuesto el acceso a miles de sistemas de seguridad inteligentes
Una reconocida empresa líder en energía y electrónica, ha resuelto con éxito una preocupante brecha de seguridad que ha sido descubierta recientemente por un equipo de investigadores en ciberseguridad.
Este hallazgo reveló una falla en diversos sistemas de seguridad informática, la cual se resume en una plataforma basada en la nube, que permite a los usuarios acceder, administrar, armar y desarmar sus sistemas de alarma de seguridad de forma remota a través de una aplicación móvil.
Los investigadores de seguridad de dicha organización, explicaron que esta vulnerabilidad permitía a cualquier persona registrarse como un nuevo usuario y asignar dicha cuenta a cualquier grupo de usuarios existente, incluido el grupo “raíz” o “root”. Este grupo en particular tiene acceso privilegiado a todos los sistemas de alarmas inteligentes conectados a la nube de la empresa electrónica.
La brecha de seguridad en cuestión es conocida como referencia de objeto directo inseguro, IDOR, por sus siglas en inglés, la cual es una clase de error de seguridad que, debido a controles de acceso débiles o inexistentes en un servidor, permite un acceso no autorizado a archivos, datos, cuentas de usuario y cualquier tipo de información sensible.
Si necesitas sistemas de ciberseguridad robustos, TIC Defense puede ofrecerte un conjunto de herramientas, servicios y soluciones que otorgan a tu empresa una protección de primer orden. Nuestra plataforma integrada tiene un sistema de vigilancia y monitoreo 24 horas, así mantenemos a raya a los hackers maliciosos.
Los especialistas han destacado que aprovechar este bug resultaba muy sencillo, al grado de sorprenderlos. Esto mediante el uso de herramientas intermedias como Burp Suite. Al interceptar el número de grupo asignado al nuevo usuario y cambiarlo por el número de grupo del root que, en el caso de los sistemas de seguridad inteligentes, era simplemente el número 1, y así se lograba explotar la vulnerabilidad.
Una vez añadido al grupo root, el usuario recién registrado obtenía acceso a la información sensible y confidencial; tales como nombres, direcciones de correo electrónico y ubicaciones de cada sistema de seguridad inteligente conectado.
Aunque no se llevó a cabo un intento de controlar remotamente estos sistemas de alarma de seguridad, es evidente que dicha capacidad habría estado al alcance de un posible hacker malicioso.
El descubrimiento de la vulnerabilidad ha planteado una preocupación significativa en términos de la protección de los sistemas de seguridad inteligentes, muchos de ellos conectados a la nube de compañías privadas.
La organización afectada ha respondido a esta situación de manera diligente, publicando una notificación de seguridad en su sitio web, en donde confirma la existencia del error en la lógica de autorización de acceso grupal en sus sistemas.
En cuanto a la posibilidad de controlar de forma remota los sistemas de seguridad interconectados, ningún portavoz ha comentado algo al respecto. Del mismo modo, la compañía ha afirmado que se ha de un evento aislado.
No obstante, no han proporcionado detalles sobre cómo llegaron a esta conclusión o si cuentan con medios técnicos, como sistemas de registro, para determinar si la vulnerabilidad fue descubierta o explotada con anterioridad.
Por ello, este último aspecto plantea dudas acerca de la capacidad de la organización para prevenir, detectar y responder a incidentes de seguridad en sus sistemas.
