A agência de segurança cibernética dos EUA CISA removeu várias falhas de produtos Owl Labs de seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) depois que a Cibersegurança Notícias questionou em particular sua decisão.
Em meados de setembro, a CISA adicionou ao seu catálogo KEV quatro vulnerabilidades que afetam o produto de videoconferência inteligente Meeting Owl da Owl Labs, um dispositivo em forma de coruja que possui uma câmera de conferência de 360°, um microfone e um alto-falante. Outra falha do Meeting Owl foi adicionada anteriormente à lista KEV.
As vulnerabilidades do Meeting Owl, descobertas no ano passado por pesquisadores da empresa suíça de segurança cibernética Modzero, incluem criptografia inadequada, credenciais codificadas, autenticação ausente e problemas de autenticação inadequada. Um invasor pode usá-los para assumir o controle do dispositivo Meeting Owl alvo e transformá-lo em um ponto de acesso não autorizado, mas a exploração exigiria que o invasor estivesse no alcance do Bluetooth do dispositivo Meeting Owl alvo.
A CISA anunciou esta semana que removeu as vulnerabilidades do Meeting Owlcitando evidências insuficientes de exploração.
“A CISA colabora continuamente com parceiros do governo e do setor privado. Como resultado desta colaboração, a CISA concluiu que não existem provas suficientes para manter o [five Meeting Owl] CVEs no catálogo e os removeu”, disse a agência.
Quando as vulnerabilidades foram adicionadas à lista KEV, Semana de Segurança contactou a CISA e o fornecedor para confirmação da exploração maliciosa, dado que não havia relatórios públicos sobre a exploração e o facto de que as vulnerabilidades pareciam pouco susceptíveis de serem consideradas úteis pelos actores da ameaça, uma vez que exigem que o atacante esteja no alcance do Bluetooth. Hackers maliciosos que exploram vulnerabilidades via Bluetooth são – até onde sabemos – inéditos.
No entanto, quando confrontada com inquéritos semelhantes no passado, a CISA insistiu que apenas as falhas para as quais tivesse provas fiáveis de exploração na natureza fossem adicionadas ao catálogo KEV. Neste caso, isso significaria que as vulnerabilidades foram provavelmente exploradas por um atacante altamente motivado e sofisticado como parte de uma campanha de espionagem direcionada e não como parte de operações oportunistas.
A CISA ainda não respondeu à investigação da Cibersegurança Notícias. Quando contatada em meados de setembro, a resposta da Owl Labs sugeriu que a empresa não tinha conhecimento de nenhum ataque. O fornecedor informou à Cibersegurança Notícias sobre a decisão da CISA de remover os CVEs de seu catálogo na quinta-feira, mas não disse por que a agência de segurança cibernética pensava que as vulnerabilidades foram exploradas.
Quando as falhas foram adicionadas ao catálogo KEV, Ben Smith, da Tenable, observou em um postagem no blog“Atualmente não tenho conhecimento de nenhum [Bluetooth Low Energy (BLE)] vulnerabilidades realmente exploradas em estado selvagem. Também não tenho conhecimento de nenhum malware que contenha funcionalidade Bluetooth ou BLE. As evidências provavelmente seriam registros do dispositivo ou uma amostra do malware com esse recurso. Se isso for verdade, provavelmente marca a primeira vez que temos evidências de exploração de vulnerabilidades BLE.”
Smith explicou na época que existem dois caminhos principais para explorar esses tipos de vulnerabilidades: visando diretamente um dispositivo de perto via Bluetooth ou usando um dispositivo remotamente comprometido que esteja nas proximidades do alvo.
Teoricamente, um ataque Bluetooth pode ser lançado de até 330 pés no caso do dispositivo Owl Labs, o que poderia ser alcançado em alguns cenários a partir de um estacionamento ou calçada perto do prédio que abriga o dispositivo alvo. No cenário que envolve um dispositivo comprometido, isso não é fácil de conseguir.
“Os invasores podem usar aplicativos de enumeração BLE ou instalar ferramentas de linha de comando como hcitool ou gatttool para se aprofundar na exploração do BLE, mas eles não são instalados por padrão na maioria dos laptops ou dispositivos móveis. Portanto, o malware que deseja explorar vulnerabilidades BLE em um dispositivo remoto precisaria incluir tais recursos ou um invasor precisaria escrever algum código para usar APIs BLE expostas no dispositivo comprometido. Eles variam entre sistemas operacionais e arquiteturas”, explicou Smith.
: