Los investigadores de ciberseguridad han revelado vulnerabilidades en las cámaras web modelo seleccionadas de Lenovo y pueden convertirlas en dispositivos de ataque BadusB.
«Esto permite a los atacantes remotos inyectar secretos en secreto y lanzar ataques independientemente del sistema operativo host», dijeron los investigadores de eclipsio Paul Assadrian, Mickey Schkatov y Jesse Michael en un informe que compartieron con Hacker News.
La vulnerabilidad se llama CodeName Badcam por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 de hoy.
Este desarrollo puede haberse marcado cuando se demostró por primera vez que los actores de amenaza que controlan los periféricos USB basados en Linux ya conectados a una computadora pueden ser armados para una intención maliciosa.
En un escenario de ataque hipotético, el enemigo puede explotar la vulnerabilidad para enviar una cámara web de fondo a la víctima, o adjuntarlo a la computadora si el acceso físico está disponible, y emitir remotamente comandos que comprometen la computadora para realizar actividades posteriores a la inspección.
Demostrado por primera vez hace más de una década por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, BadSB es un ataque que explota una vulnerabilidad única en el firmware USB, esencialmente reprogramando los comandos cuidadosamente y ejecutando programas maliciosos en las computadoras víctimas.
«A diferencia del malware tradicional que reside en los sistemas de archivos y a menudo se puede detectar con herramientas antivirus, BadSB vive en la capa de firmware», dijo Ivanti en una descripción de la amenaza publicada el mes pasado. «Cuando se conecta a su computadora, el dispositivo BadUSB es: emula un teclado y ingresa comandos maliciosos, instala puertas traseras y keyloggers, redirige el tráfico de Internet y (y) elimina datos confidenciales».
En los últimos años, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtieron que FIN7 fue rastreado para enviar dispositivos USB maliciosos de la organización con sede en Estados Unidos BadUSB para entregar malware llamado DiCeloader, causando que se rastreen grupos de amenazas con motivación financiera.
Los últimos descubrimientos de Eclypsium muestran que los periféricos basados en USB, como las cámaras web que ejecutan Linux, no tenían la intención de ser maliciosas al principio, sino que se convirtieron en un vector de ataques Badsub, que marcan una escalada grave. Específicamente, sabemos que tales dispositivos se pueden secuestrar de forma remota y convertirse en dispositivos BadUSB sin alejarlos físicamente o reemplazarlos.
«Los atacantes que obtienen la ejecución de código remoto en un sistema pueden reflexionar sobre el firmware de cámaras web con alimentación de Linux, reutilizándolo para actuar como un HID malicioso o emular dispositivos USB adicionales», explicaron los investigadores.
«Cuando se trata de armas, una cámara web aparentemente inofensiva puede inyectar teclas, proporcionar cargas útiles maliciosas y actuar como un andamio más profundo y persistente.
Además, los actores de amenaza con la capacidad de cambiar el firmware de la cámara web pueden lograr un mayor nivel de persistencia, lo que les permite reinfectar la computadora de la víctima con malware incluso después de que se haya eliminado y el sistema operativo se ha reinstalado.
Las vulnerabilidades reveladas en las cámaras web FHD de Lenovo 510 FHD y Lenovo Performance están relacionadas con la forma en que los dispositivos no validan el firmware.
Tras su divulgación responsable con Lenovo en abril de 2025, los fabricantes de PC lanzaron una actualización de firmware (versión 4.8.0) para mitigar la vulnerabilidad y lanzaron una herramienta para trabajar con la compañía china SigmaStar para conectar el problema.
«Este ataque por primera vez destaca un vector sutil pero profundamente problemático. Las empresas y las computadoras de consumo a menudo confían en los periféricos internos y externos.
«En el contexto de una cámara web de Linux, un firmware sin firmar o sin protección permite que un atacante destruya no solo el host, sino que la cámara puede conectarse, transmitir infecciones y futuros hosts que eluden el control tradicional».
Source link
