Nuevas fallas en los altavoces inteligentes de Sonos permiten a los hackers escuchar a los usuarios

XPoint
Publicado el 09/08/2024
Versión en Español

Investigadores de ciberseguridad han descubierto vulnerabilidades en los altavoces inteligentes de Sonos que podrían ser explotadas por actores maliciosos para escuchar a los usuarios de manera clandestina.

Las vulnerabilidades «condujeron a una ruptura total en la seguridad del proceso de arranque seguro de Sonos en una amplia gama de dispositivos, permitiendo comprometer varios dispositivos de manera remota a través del aire», dijeron los investigadores de seguridad del NCC Group, Alex Plaskett y Robert Herrera.

La explotación exitosa de una de estas fallas podría permitir a un atacante remoto obtener capturas de audio encubiertas desde los dispositivos Sonos mediante un ataque aéreo. Estas vulnerabilidades afectan a todas las versiones anteriores al lanzamiento de Sonos S2 15.9 y Sonos S1 11.12, que se distribuyeron en octubre y noviembre de 2023.

Los hallazgos fueron presentados en Black Hat USA 2024. Una descripción de los dos defectos de seguridad es la siguiente:

CVE-2023-50809: Una vulnerabilidad en la pila Wi-Fi de Sonos One Gen 2 no valida adecuadamente un elemento de información al negociar un intercambio de claves WPA2 de cuatro pasos, lo que lleva a la ejecución remota de código.
CVE-2023-50810: Una vulnerabilidad en el componente U-Boot del firmware del Sonos Era-100 que permitiría la ejecución persistente de código arbitrario con privilegios del núcleo de Linux.

NCC Group, que invirtió el proceso de arranque para lograr la ejecución remota de código en los dispositivos Sonos Era-100 y Sonos One, dijo que CVE-2023-50809 es el resultado de una vulnerabilidad de corrupción de memoria en el controlador inalámbrico de Sonos One, que es un chipset de terceros fabricado por MediaTek.

Ciberseguridad

«En el controlador wlan, existe una posible escritura fuera de los límites debido a una validación incorrecta de la entrada», dijo MediaTek en un aviso para CVE-2024-20018. «Esto podría llevar a una escalada de privilegios local sin necesidad de permisos adicionales de ejecución. No se necesita interacción del usuario para la explotación.»

El acceso inicial obtenido de esta manera allana el camino para una serie de pasos post-explotación que incluyen obtener un shell completo en el dispositivo para ganar control total en el contexto de root, seguido de desplegar un implante novedoso en Rust capaz de capturar audio desde el micrófono en proximidad física cercana al altavoz.

La otra falla, CVE-2023-50810, se relaciona con una cadena de vulnerabilidades identificadas en el proceso de arranque seguro para violar dispositivos Era-100, haciendo posible eludir los controles de seguridad para permitir la ejecución de código no firmado en el contexto del núcleo.

Esto podría combinarse con una falla de escalada de privilegios de N-día para facilitar la ejecución de código a nivel de ARM EL3 y extraer secretos criptográficos respaldados por hardware.

«En general, hay dos conclusiones importantes que se deben extraer de esta investigación», dijeron los investigadores. «La primera es que los componentes OEM deben estar al mismo nivel de seguridad que los componentes internos. Los proveedores también deben realizar modelos de amenazas de todas las superficies de ataque externas de sus productos y asegurar que todos los vectores remotos hayan sido objeto de validación suficiente.»

«En el caso de las debilidades en el arranque seguro, es importante validar y realizar pruebas de la cadena de arranque para asegurar que estas debilidades no se introduzcan. Se deben considerar tanto los vectores de ataque basados en hardware como en software.»

La divulgación se produce mientras la empresa de seguridad de firmware Binarly reveló que cientos de productos UEFI de casi una docena de proveedores son susceptibles a un problema crítico de la cadena de suministro de firmware conocido como PKfail, que permite a los atacantes eludir el arranque seguro e instalar malware.

Específicamente, encontraron que cientos de productos usan una clave de plataforma de prueba generada por American Megatrends International (AMI), que probablemente se incluyó en su implementación de referencia con la esperanza de que fuera reemplazada por otra clave generada de manera segura por las entidades de la cadena de suministro.

Ciberseguridad

«El problema surge de la ‘clave maestra’ de Secure Boot, conocida como la Clave de Plataforma (PK, por sus siglas en inglés) en la terminología UEFI, que no es confiable porque es generada por proveedores independientes de BIOS (IBVs, por sus siglas en inglés) y compartida entre diferentes proveedores», dijo, describiéndola como un problema transversal que afecta tanto a las arquitecturas x86 como ARM.

«Esta Clave de Plataforma […] a menudo no es reemplazada por OEMs o proveedores de dispositivos, lo que resulta en dispositivos que se envían con claves no confiables. Un atacante con acceso a la parte privada de la PK puede fácilmente eludir el arranque seguro manipulando la base de datos de intercambio de claves (KEK), la base de datos de firmas (db) y la base de datos de firmas prohibidas (dbx).»

Como resultado, PKfail permite a los actores maliciosos ejecutar código arbitrario durante el proceso de arranque, incluso con Secure Boot habilitado, permitiéndoles firmar código malicioso y entregar un bootkit UEFI, como BlackLotus.

«El primer firmware vulnerable a PKfail fue lanzado en mayo de 2012, mientras que el último fue lanzado en junio de 2024», dijo Binarly. «En general, esto convierte este problema de la cadena de suministro en uno de los más duraderos de su tipo, abarcando más de 12 años.»


English Version

New Flaws in Sonos Smart Speakers Allow Hackers to Eavesdrop on Users

Cybersecurity researchers have discovered vulnerabilities in Sonos smart speakers that could be exploited by malicious actors to clandestinely eavesdrop on users.

The vulnerabilities «led to a complete breach in the security of Sonos’s secure boot process across a wide range of devices, allowing several devices to be remotely compromised over the air,» said NCC Group security researchers Alex Plaskett and Robert Herrera.

Successful exploitation of one of these flaws could allow a remote attacker to obtain covert audio captures from Sonos devices via an over-the-air attack. These vulnerabilities affect all versions prior to the release of Sonos S2 15.9 and Sonos S1 11.12, which were shipped in October and November 2023.

The findings were presented at Black Hat USA 2024. A description of the two security defects is as follows:

CVE-2023-50809: A vulnerability in the Sonos One Gen 2 Wi-Fi stack that does not properly validate an information element while negotiating a WPA2 four-way handshake, leading to remote code execution.
CVE-2023-50810: A vulnerability in the U-Boot component of the Sonos Era-100 firmware that would allow for persistent arbitrary code execution with Linux kernel privileges.

NCC Group, which reverse-engineered the boot process to achieve remote code execution on the Sonos Era-100 and Sonos One devices, said that CVE-2023-50809 is the result of a memory corruption vulnerability in the Sonos One’s wireless driver, which is a third-party chipset manufactured by MediaTek.

Cybersecurity
«In the wlan driver, there is a possible out-of-bounds write due to improper input validation,» MediaTek said in an advisory for CVE-2024-20018. «This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.»

The initial access obtained in this manner paves the way for a series of post-exploitation steps that include obtaining a full shell on the device to gain complete control in the context of root, followed by deploying a novel Rust implant capable of capturing audio from the microphone in close physical proximity to the speaker.

The other flaw, CVE-2023-50810, relates to a chain of vulnerabilities identified in the secure boot process to breach Era-100 devices, effectively making it possible to circumvent security controls to allow for unsigned code execution in the context of the kernel.

This could then be combined with an N-day privilege escalation flaw to facilitate ARM EL3 level code execution and extract hardware-backed cryptographic secrets.

«Overall, there are two important conclusions to draw from this research,» the researchers said. «The first is that OEM components need to be of the same security standard as in-house components. Vendors should also perform threat modeling of all the external attack surfaces of their products and ensure that all remote vectors have been subject to sufficient validation.»

«In the case of the secure boot weaknesses, it is important to validate and perform testing of the boot chain to ensure that these weaknesses are not introduced. Both hardware and software-based attack vectors should be considered.»

The disclosure comes as firmware security company Binarly revealed that hundreds of UEFI products from nearly a dozen vendors are susceptible to a critical firmware supply chain issue known as PKfail, which allows attackers to bypass Secure Boot and install malware.

Specifically, it found that hundreds of products use a test Platform Key generated by American Megatrends International (AMI), which was likely included in their reference implementation in hopes that it would be replaced with another safely-generated key by downstream entities in the supply chain.

Cybersecurity
«The problem arises from the Secure Boot ‘master key,’ known as the Platform Key (PK) in UEFI terminology, which is untrusted because it is generated by Independent BIOS Vendors (IBVs) and shared among different vendors,» it said, describing it as a cross-silicon issue affecting both x86 and ARM architectures.

«This Platform Key […] is often not replaced by OEMs or device vendors, resulting in devices shipping with untrusted keys. An attacker with access to the private part of the PK can easily bypass Secure Boot by manipulating the Key Exchange Key (KEK) database, the Signature Database (db), and the Forbidden Signature Database (dbx).»

As a result, PKfail permits bad actors to run arbitrary code during the boot process, even with Secure Boot enabled, allowing them to sign malicious code and deliver a UEFI bootkit, such as BlackLotus.

«The first firmware vulnerable to PKfail was released back in May 2012, while the latest was released in June 2024,» Binarly said. «Overall, this makes this supply-chain issue one of the longest-lasting of its kind, spanning over 12 years.»

Preguntas frecuentes

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos