lunes, 27 de julio de 2015

Vulnerabilidades en Honeywell Tuxedo Touch

Maxim Rupp ha reportado múltiples vulnerabilidades en todas las versiones de Honeywell Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir restricciones de seguridad y realizar ataques de cross-site request forgery (CSRF).
  
Tuxedo Touch de Honeywell es un controlador que integra la automatización de la vivienda y la empresa. Ofrece la capacidad de utilizar control de voz, permitiendo una serie de tareas, como por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas por video y correo electrónico activadas por eventos de forma remota.

Los errores se detallan a continuación: 
  • CVE-2015-2847: En el que debido a un error de autenticación en la interfaz web (usa JavaScript), un atacante remoto podría eludir restricciones de seguridad a través de la interceptación y anulación de peticiones de tipo 'USERACCT'.
        
  • CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller. 

Todas las versiones anteriores a 5.2.19.0 se encuentran afectadas.
El fabricante ha publicado una nueva versión de firmware que soluciona estas vulnerabilidades.

Más información:

Tuxedo Touch

Vulnerability Note VU#857948
Honeywell Tuxedo Touch Controller contains multiple vulnerabilities

una-al-dia (21/10/2013) No te dejes engañar por las vulnerabilidades leves (y II)


Juan Sánchez

domingo, 26 de julio de 2015

Estudio de HP revela que todos los smartwatches son vulnerables

HP ha publicado un estudio sobre la seguridad en los smartwatches o relojes inteligentes según la cual todos los dispositivos analizados se ven afectados por algún problema de seguridad.

Fuente: HP. Internet of Things Security Study: Smartwatches
HP ha dado a conocer los resultados de una evaluación que confirma que los smartwatches con funcionalidades de red y comunicaciones representan una nueva puerta de ataques. El estudio realizado por HP Fortify encontró que el cien por cien de los relojes evaluados contienen importantes vulnerabilidades, incluyendo autenticación insuficiente, falta de cifrado y problemas de privacidad.

HP ha realizado su estudio sobre 10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien en ningún momento del estudio se mencionan los relojes analizados, un dato que sin duda daría más valor al informe. Se puede pensar que para el estudio al menos se han incluido los relojes más populares, pero dada la diversidad de smartwatches existentes en el mercado, versiones, etc. sería importante conocer los relojes y los problemas que afectan a cada uno. HP considera que la similitud en los resultados de los 10 smartwatches analizados constituye un buen indicador del estado actual en materia de seguridad de los relojes inteligentes.

Lo que sí se especifica claramente es que para las pruebas se ha empleado el "OWASP Internet of Things Top 10" y las vulnerabilidades especificadas asociadas para cada categoría.

Los problemas más sencillos y comunes descritos en el informe incluyen: 
  • Insuficiente autorización o autenticación de usuario. Todos los relojes fueron emparejados con una interfaz móvil que carecía de autenticación de dos factores y la capacidad de bloquear las cuentas después de varios intentos fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a la obtención de la cuenta. Esto es, un atacante podría obtener acceso al dispositivo y los datos a través de una combinación de políticas débiles de contraseñas, falta de bloqueo de cuentas y enumeración de usuario.
         
  • Carencia de comunicaciones cifradas. El cifrado de las comunicaciones se considera crítico dado que se está transmitiendo información personal. Todos los relojes evaluados implementaban comunicaciones cifradas mediante SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.
          
  • Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban interfaces web basados en la nube, que además se veían expuestos a problemas de enumeración de cuentas. El mismo porcentaje en lo que se refería a las aplicaciones móviles.
         
  • Firmware/software inseguro. Un 70% de los relojes inteligentes probados presentaban problemas en la protección de las actualizaciones del firmware, incluyendo transmisión de actualizaciones de firmware y archivos de actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso muchas actualizaciones estaban firmadas.
         
  • Problemas de privacidad. Todos smartwatches recogen algún tipo de información personal, como nombre, dirección, fecha de nacimiento, peso, sexo, frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la posibilidad de enumeración de cuentas y la utilización de contraseñas débiles en algunos productos, la exposición de esta información personal es un motivo de preocupación.
      
Más información:

HP Study Reveals Smartwatches Vulnerable to Attack

Internet of Things Security Study: Smartwatches

OWASP Internet of Things Top 10

una-al-dia (15/10/2014) SSL tocado y hundido



Antonio Ropero