AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Vulnerabilidad Crítica en Cámaras Honeywell Permite Acceso No Autorizado y Secuestro de Cuentas

admin

Introducción

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido recientemente una alerta sobre una vulnerabilidad crítica detectada en diversos productos de videovigilancia de Honeywell. Esta debilidad permite a actores no autorizados acceder a las transmisiones de vídeo o incluso secuestrar cuentas legítimas, comprometiendo la confidencialidad y la integridad de las infraestructuras monitorizadas. El incidente afecta a una base instalada significativa, incluyendo entornos industriales, edificios inteligentes y sistemas de seguridad perimetral, lo que eleva el nivel de riesgo para organizaciones públicas y privadas.

Contexto del Incidente o Vulnerabilidad

Honeywell es un proveedor global de soluciones de seguridad, siendo sus sistemas CCTV ampliamente desplegados en sectores como la energía, manufactura, logístico y administración pública. La vulnerabilidad, catalogada como crítica por la CISA y registrada bajo el identificador CVE-2024-29244, afecta a varias versiones de los productos MAXPRO NVR, MAXPRO VMS y Pro-Watch Video Management System. La debilidad reside en un fallo de autenticación y gestión de sesiones, permitiendo que un atacante remoto evite los controles de acceso y obtenga privilegios administrativos.

Las investigaciones iniciales apuntan a que la vulnerabilidad está siendo explotada activamente en entornos de producción, lo que ha motivado la rápida publicación de parches de seguridad y la emisión de guías de mitigación tanto por parte de Honeywell como de agencias gubernamentales de ciberseguridad.

Detalles Técnicos

La vulnerabilidad CVE-2024-29244 tiene una puntuación CVSS v3.1 de 9.8 (Crítica), dado su potencial para permitir la ejecución remota de código (RCE), escalada de privilegios y acceso a información sensible sin autenticación previa. El fallo reside en la gestión deficiente de tokens de autenticación y en la validación insuficiente de las credenciales proporcionadas por los usuarios.

Vectores de ataque:
– Acceso remoto a interfaces web de administración expuestas a Internet o redes internas sin segmentación adecuada.
– Manipulación de peticiones HTTP para eludir los controles de autenticación (bypass).
– Secuestro de sesiones activas mediante técnicas de “session fixation” o reutilización de tokens robados.

TTPs (Tácticas, Técnicas y Procedimientos) conforme a MITRE ATT&CK:
– Initial Access: Exploitation of Remote Services (T1190)
– Credential Access: Valid Accounts (T1078)
– Lateral Movement: Exploitation of Remote Services (T1210)

Indicadores de Compromiso (IoC) conocidos:
– Acceso no autorizado a logs de administración.
– Cambios en la configuración de usuarios sin justificación.
– Solicitudes HTTP anómalas a endpoints de autenticación.

Actualmente, existen módulos de explotación disponibles en frameworks como Metasploit, y se han detectado campañas de escaneo automatizado en Shodan para identificar equipos vulnerables.

Impacto y Riesgos

El impacto potencial de la explotación de esta vulnerabilidad es considerable:
– Compromiso total de la infraestructura de videovigilancia, incluyendo la visualización y manipulación de grabaciones.
– Secuestro de cuentas administrativas y creación de usuarios persistentes para futuras intrusiones.
– Riesgo de movimientos laterales hacia sistemas OT o IT conectados a la red de CCTV.
– Vulneración de la privacidad y posible incumplimiento de normativas como el GDPR, dado el acceso no autorizado a imágenes de personas.
– Pérdidas económicas por incidentes de extorsión, fuga de información o interrupción de operaciones críticas.

Honeywell estima que la base instalada de productos potencialmente afectados supera el 30% de sus despliegues en Europa y Norteamérica.

Medidas de Mitigación y Recomendaciones

Honeywell ha publicado actualizaciones de seguridad que solucionan la vulnerabilidad en las siguientes versiones:
– MAXPRO NVR: actualizar a la versión 5.1.0.300 o superior.
– MAXPRO VMS: actualizar a la versión 6.0.2 o superior.
– Pro-Watch VMS: actualizar a la versión 5.6.2 o superior.

Se recomienda a los responsables de seguridad:
– Aplicar los parches de seguridad lo antes posible.
– Revisar los logs de acceso y configuración en busca de actividades sospechosas.
– Segmentar la red de CCTV mediante VLANs o firewalls y evitar la exposición innecesaria de interfaces de administración a Internet.
– Implementar autenticación multifactor en accesos remotos y revisar las políticas de gestión de contraseñas.
– Realizar pruebas de penetración periódicas para validar la efectividad de las medidas.

Opinión de Expertos

Especialistas consultados por BleepingComputer y otras fuentes del sector, como el SANS Institute y la ENISA, coinciden en que este tipo de vulnerabilidades en sistemas de videovigilancia representan un vector de ataque creciente, dada la convergencia entre los entornos IT y OT. Según el analista de amenazas Pablo Fernández, “la explotación de cámaras inteligentes puede ser el primer paso para un ataque más amplio contra infraestructuras críticas, especialmente en operaciones industriales o servicios esenciales”.

Implicaciones para Empresas y Usuarios

Más allá del acceso a las imágenes, la explotación de este fallo puede facilitar ataques dirigidos (spear phishing, extorsión, sabotaje industrial) y abrir la puerta a incumplimientos de la legislación europea GDPR y la directiva NIS2, con posibles sanciones económicas que pueden superar los 10 millones de euros o el 2% de la facturación anual.

Las organizaciones deben considerar la seguridad de sus sistemas de videovigilancia como parte integral de su política de ciberseguridad y gobernanza, y no relegarla a una cuestión meramente operativa.

Conclusiones

El descubrimiento y explotación activa de la vulnerabilidad CVE-2024-29244 en productos Honeywell evidencia la necesidad de reforzar la seguridad en dispositivos IoT críticos como los sistemas de CCTV. La rápida aplicación de parches, la segmentación de redes y la monitorización proactiva son claves para mitigar riesgos y evitar brechas que puedan tener consecuencias legales y operacionales graves. Las empresas deben priorizar la revisión de sus infraestructuras y adoptar un enfoque “defence-in-depth” en la protección de sus activos de videovigilancia.

(Fuente: www.bleepingcomputer.com)