Una botnet, como la que forman estos aparatos, es una red de dispositivos hackeados que está al control de un hacker o grupo malicioso, que puede obtener información de estos dispositivos e incluso controlarlos a distancia.
La organización sin ánimo de lucro Shadowserver Foundation, dedicada a buscar fallos de seguridad y software malicioso, ha detectado una botnet con presencia a nivel internacional compuesta por dispositivos GeoVision que han quedado obsoletos. GeoVision es una compañía de productos de seguridad como videocámaras, controles de acceso, sistemas de supervisión, controles de acceso o seguridad en la nube. Aunque Estados Unidos y Alemania son los dos países más potencialmente afectados, el mapa que han compartido desde esta asociación recoge que en España hay más de 300 dispositivos de GeoVision vulnerables.
Los dispositivos que van quedando obsoletos son un plato fuerte para los hackers, que aprovechan la diferencia de tiempo entre que quedan obsoletos y se sustituyen por unidades nuevas para infectarlos con malware. Y es que, al quedar obsoletos, la compañía deja de proveer parches de seguridad y estos quedan más desprotegidos frente a nuevas amenazas.
Es en este contexto en el que se cree que se han conseguido hackear miles de dispositivos en todo el mundo. Según el mapa, Estados Unidos tiene casi 10.000 dispositivos vulnerables de GeoVision que los hackers podrían tratar de infectar; Canadá unos 784, y Alemania 1.652. Después de Alemania, los países europeos con más dispositivos GeoVision vulnerables en activo son Bélgica (469 unidades) y España (310 unidades).
Así, los hackers han usado la vulnerabilidad de día cero CVE-2024-11120, que les permite ganar acceso remoto a los dispositivos.
Según los investigadores de ciberseguridad de Shadowserver, la botnet ya se está utilizando para la emisión de ataques de denegación de servicio (DDoS) y para el minado de criptomonedas.
«Los atacantes remotos no autenticados pueden aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo. Además, esta vulnerabilidad ya ha sido explotada por atacantes y hemos recibido informes relacionados«, explican desde el organismo de ciberseguridad TWCERT/CC.
Tipos de dispositivos afectados
Los dispositivos infectados que han pasado a formar parte de la botnet son cámaras IP, servidores de vídeo o DVR compactos, entre otros. La lista es la siguiente:
- DSP LPR (dispositivo de reconocimiento de matrículas): GV_DSP_LPR_V2, GV-DSP_LPR_V3
- Cámaras IP: GV_IPCAMD_GV_BX1500, GV_IPCAMD_GV_CB220, GV_IPCAMD_GV_EBL1100, GV_IPCAMD_GV_EFD1100, GV_IPCAMD_GV_FD2410, GV_IPCAMD_GV_FD3400, GV_IPCAMD_GV_FE3401, GV_IPCAMD_GV_FE420
- Servidores de vídeo: GV-VS14_VS14, GV_VS03, GV_VS2410, GV_VS28XX, GV_VS216XX, GV VS04A, GV VS04H
- DVR (grabador de vídeo digital): GVLX 4 V2, GVLX 4 V3
Aunque no todos los dispositivos infectados son cámaras, otros dispositivos actúan como gestores de estas videocámaras, por lo que podrían tener acceso a las imágenes recogidas por estas.
Desde GeoVision no proveerán de parches de seguridad dado que estos dispositivos están obsoletos, por lo que la única solución posible para protegerlos es la de sustituirlos por modelos nuevos.
Fuente: Bitdefender | adslzone
