Meeting Owl Pro de Owl Labs es un dispositivo de videoconferencia con varias funciones y varias vulnerabilidades de seguridad que ponen en riesgo a las organizaciones que utilizan el dispositivo. Un análisis de seguridad del dispositivo realizado por la consultora de seguridad Modzero revela fallas de seguridad que permiten a los actores de amenazas acceder a los datos que se envían a través del dispositivo.
Las fallas se descubrieron cuando la empresa realizó un análisis de seguridad de los dispositivos de videoconferencia para un cliente anónimo. En enero, la empresa se puso en contacto con Owl Labs sobre estas fallas, pero ninguna de las vulnerabilidades más graves se ha solucionado todavía.
En las noticias: Día 0 crítico de Atlassian Confluence: la empresa recomienda deshabilitar la aplicación
Para empezar, los nombres, direcciones de correo electrónico, direcciones IP y ubicaciones geográficas de todos los usuarios de Meeting Owl Pro se almacenan en una base de datos en línea a la que se puede acceder con solo un número de serie válido de Meeting Owl, sin necesidad de contraseña.
Hay una funcionalidad Bluetooth incorporada para ampliar el alcance del dispositivo y proporcionar control remoto, pero no utiliza una contraseña de forma predeterminada. Incluso cuando se establece (opcionalmente) un código de acceso, los atacantes pueden desactivarlo utilizando al menos cuatro enfoques diferentes.
El dispositivo también puede actuar como un extensor WiFi proporcionando un SSID WiFi independiente mientras utiliza otro SSID para permanecer conectado a la red de la organización. Un atacante puede aprovechar esta funcionalidad para convertir el dispositivo en un punto de acceso fraudulento para robar datos o insertar malware en la red host.
Por último, pero no menos importante, cualquier persona puede acceder a las imágenes de las sesiones de pizarra capturadas, algo que se supone que está disponible sólo para los participantes de la reunión. Sin embargo, en marzo, Owl Labs desactivó esta función después de recibir el informe de Modzero.
Si bien los ID de CVE aún están pendientes, las vulnerabilidades han recibido sus puntuaciones de gravedad.
Vulnerabilidad | Puntuación CVSS | ID CVE |
---|---|---|
Contraseña de puerta trasera codificada | 9.3 | Pendiente |
No se requiere contraseña para los comandos Bluetooth | 8.2 | Pendiente |
El modo de anclaje a red utiliza credenciales codificadas | 7.4 | Pendiente |
Las contraseñas se pueden desactivar sin autenticación | 7.4 | Pendiente |
El hash del código de acceso se puede recuperar a través de Bluetooth | 7.4 | Pendiente |
Los atacantes pueden aprovechar todas estas vulnerabilidades para encontrar dispositivos registrados, los datos que pasan por ellos y sus propietarios, y obtener acceso a las redes a las que estos dispositivos están conectados de forma remota. Los ataques se pueden realizar a través de Internet o estando cerca del dispositivo y se pueden utilizar para realizar ingeniería social o dox a los empleados.
Owl Labs publicó una declaración reconociendo las vulnerabilidades y afirmó que ya tiene o está trabajando para solucionar las lagunas señaladas en el documento de 41 páginas de Modzero. informe de análisis de seguridad agregando que, hasta donde él sabe, todavía no ha habido “violaciones de seguridad del cliente”.
La compañía afirmó además que está realizando actualizaciones específicas para abordar las siguientes vulnerabilidades.
- La información de identificación personal ya no estaría disponible desde una API RESTful.
- Se implementarán restricciones del servicio MQTT para proteger las comunicaciones de IoT.
- Los propietarios anteriores ya no tendrían acceso a información de identificación personal cuando un dispositivo se transfiera de una cuenta a otra.
- El acceso a la exposición del puerto de la centralita se limitaría o se eliminaría por completo.
- Correcciones para el modo de anclaje a red WiFi AP.
Se espera que estas actualizaciones estén disponibles en junio de 2022.
En las noticias: El Departamento de Justicia acusa al ex ejecutivo de OpenSea por uso de información privilegiada