A agência de segurança cibernética dos EUA, CISA, afirma que quatro vulnerabilidades encontradas no ano passado em dispositivos de videoconferência Owl Labs – falhas que exigem que o invasor esteja próximo do alvo – foram exploradas em ataques.
CISA na segunda-feira adicionou oito novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).
Duas das falhas de segurança afetam os produtos Realtek (CVE-2014-8361) e Zyxel (CVE-2017-6884) e sabe-se que foram exploradas por botnets. Outra vulnerabilidade adicionada pela CISA ao seu catálogo é a CVE-2021-3129, uma vulnerabilidade do Laravel para a qual tentativas de exploração foram vistos pela primeira vez em 2021. O quarto é CVE-2022-22265uma vulnerabilidade do Samsung Android que o Google disse ter sido explorada desde o início de 2021.
A empresa de inteligência de ameaças GreyNoise confirmou que as vulnerabilidades Realtek, Zyxel e Laravel ainda estão sendo alvo de ataques.
As quatro vulnerabilidades restantes adicionadas pela CISA à sua lista KEV impactam o produto de videoconferência Meeting Owl da Owl Labs. O dispositivo, em forma de coruja, possui uma câmera de conferência de 360°, um microfone e um alto-falante, e o fornecedor diz que ele fica mais inteligente com o tempo.
As vulnerabilidades do Meeting Owl foram descobertas no ano passado por pesquisadores da empresa suíça de segurança cibernética Modzero. Eles incluem criptografia inadequada, autenticação ausente, credenciais codificadas e problemas de autenticação inadequada.
A exploração dessas falhas pode permitir que um invasor assuma o controle do dispositivo Meeting Owl visado e o transforme em um ponto de acesso não autorizado.
No entanto, para cada vulnerabilidade, Modzero observou em seu relatório técnico que um invasor precisa estar no alcance do Bluetooth – e em alguns casos no alcance do Wi-Fi – do dispositivo Meeting Owl alvo para exploração.
Owl Labs lançado manchas para as vulnerabilidades no verão de 2022, logo após os problemas terem sido divulgados publicamente pelo Modzero.
Quando Modzero publicou sua pesquisa, disse que cinco identificadores CVE foram atribuídos às vulnerabilidades descobertas. Um deles foi adicionado pela CISA ao seu catálogo KEV logo após a divulgação e os quatro restantes foram adicionados esta semana.
Explorar vulnerabilidades que exigem que o invasor esteja próximo do alcance físico envolve uma preparação significativa. Estes tipos de ataques seriam provavelmente conduzidos por um atacante altamente motivado e sofisticado, como parte de uma campanha de espionagem e não como parte de operações oportunistas.
A Owl Labs afirma que mais de 150.000 organizações em 156 países utilizam a sua tecnologia, incluindo a grande maioria das empresas Fortune 100, bem como organizações governamentais e instituições educacionais.
Não parece haver nenhum relatório público descrevendo ataques envolvendo a exploração de vulnerabilidades de produtos Owl Labs, mas no passado apenas falhas para as quais há evidências confiáveis de exploração em estado selvagem foram adicionadas ao seu catálogo KEV.
Semana de Segurança entrou em contato com a CISA e a Owl Labs para obter mais informações. Com base na sua breve resposta inicial, o Owl Labs não parece estar ciente de nenhum ataque. A empresa está investigando o assunto com a CISA e aguardando uma resposta da agência.