Investigadores de ciberseguridad han descubierto debilidades en los altavoces inteligentes Sonos que podrían ser explotadas por actores maliciosos para espiar clandestinamente a los usuarios.
Las vulnerabilidades «condujeron a una ruptura total de la seguridad del proceso de arranque seguro de Sonos en una amplia gama de dispositivos y a la posibilidad de comprometer de forma remota varios dispositivos por aire», dijeron los investigadores de seguridad de NCC Group, Alex Plaskett y Robert Herrera. dicho.
La explotación exitosa de una de estas fallas podría permitir a un atacante remoto obtener captura de audio encubierta de dispositivos Sonos mediante un ataque por aire. Impacta en todas las versiones antes del lanzamiento 15.9 de Sonos S2 y el lanzamiento 11.12 de Sonos S1, que se enviaron en octubre y noviembre de 2023.
Los hallazgos se presentaron en Black Hat USA 2024. A continuación, se incluye una descripción de los dos defectos de seguridad:
- CVE-2023-50809 – Una vulnerabilidad en la pila Wi-Fi de Sonos One Gen 2 no valida correctamente un elemento de información mientras negocia un protocolo de enlace de cuatro vías WPA2, lo que lleva a la ejecución remota de código
- CVE-2023-50810 – Una vulnerabilidad en el componente U-Boot del firmware Sonos Era-100 que permitiría la ejecución persistente de código arbitrario con privilegios del kernel de Linux
NCC Group, que realizó ingeniería inversa del proceso de arranque para lograr la ejecución remota de código en los dispositivos Sonos Era-100 y Sonos One, dijo que CVE-2023-50809 es el resultado de una vulnerabilidad de corrupción de memoria en el controlador inalámbrico de Sonos One, que es un chipset de terceros fabricado por MediaTek.
«En el controlador WLAN, existe una posible escritura fuera de límites debido a una validación de entrada incorrecta», MediaTek dicho en un aviso para CVE-2024-20018. «Esto podría provocar una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación».
El acceso inicial obtenido de esta manera allana el camino para una serie de pasos posteriores a la explotación que incluyen la obtención de una carcasa completa en el dispositivo para obtener control total sobre el altavoz inteligente en el contexto de rooteo, seguido de la implementación de un nuevo implante Rust capaz de capturar audio del micrófono dentro de una proximidad física cercana al altavoz.
La otra falla, CVE-2023-50810, se relaciona con una cadena de vulnerabilidades identificadas en el proceso de arranque seguro para vulnerar los dispositivos Era-100, haciendo posible efectivamente eludir los controles de seguridad para permitir la ejecución de código no firmado en el contexto del kernel.
Esto podría combinarse con una falla de escalada de privilegios de N días para facilitar Nivel ARM EL3 ejecución de código y extracción de secretos criptográficos respaldados por hardware.
«En general, de esta investigación se pueden extraer dos conclusiones importantes», afirman los investigadores. «La primera es que los componentes OEM deben tener el mismo estándar de seguridad que los componentes internos. Los proveedores también deben realizar modelos de amenazas de todas las superficies de ataque externas de sus productos y asegurarse de que todos los vectores remotos hayan sido sometidos a una validación suficiente».
«En el caso de las debilidades del arranque seguro, es importante validar y realizar pruebas de la cadena de arranque para garantizar que no se introduzcan estas debilidades. Se deben tener en cuenta los vectores de ataque basados tanto en hardware como en software».
La revelación se produce cuando la empresa de seguridad de firmware Binarly reveló que cientos de productos UEFI de casi una docena de proveedores son susceptibles a un problema crítico en la cadena de suministro de firmware conocido como PKfail, que permite a los atacantes eludir el arranque seguro e instalar malware.
En concreto, constató que cientos de productos utilizar una clave de plataforma de prueba generada por American Megatrends International (AMI), que probablemente se incluyó en su implementación de referencia con la esperanza de que fuera reemplazada por otra clave generada de manera segura por entidades posteriores en la cadena de suministro.
«El problema surge de la ‘clave maestra’ de arranque seguro, conocida como clave de plataforma (PK) en la terminología UEFI, que no es confiable porque es generada por proveedores independientes de BIOS (IBV) y compartida entre diferentes proveedores», afirma. dichodescribiéndolo como un problema entre silicios que afecta tanto a las arquitecturas x86 como a las ARM.
«Esta clave de plataforma […] A menudo, los fabricantes de equipos originales o los proveedores de dispositivos no reemplazan la clave, lo que da como resultado que los dispositivos se envíen con claves que no son de confianza. Un atacante con acceso a la parte privada de la clave de inicio puede eludir fácilmente el arranque seguro manipulando la base de datos de claves de intercambio de claves (KEK), la base de datos de firmas (db) y la base de datos de firmas prohibidas (dbx).
Como resultado, PKfail permite que actores maliciosos ejecuten código arbitrario durante el proceso de arranque, incluso con el Arranque seguro habilitado, lo que les permite firmar código malicioso y entregar un kit de arranque UEFI, como BlackLotus.
«El primer firmware vulnerable a PKfail se lanzó en mayo de 2012, mientras que el último se lanzó en junio de 2024», dijo Binarly. «En general, esto hace que este problema de la cadena de suministro sea uno de los más duraderos de su tipo, con una duración de más de 12 años».