Los investigadores de ciberseguridad han revelado vulnerabilidades en cámaras web maniquí seleccionadas de Lenovo que podrían convertirlos en dispositivos de ataque Badusb.
“Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y difundir ataques independientemente del sistema eficaz host”, dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael en un mensaje compartido con las parte de Hacker.
Las vulnerabilidades han sido nombradas en código BADCAM por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 hoy.
Es probable que el crecimiento marca la primera vez que se ha demostrado que los actores de amenaza que obtienen el control de un periférico USB basado en Linux que ya está conectado a una computadora se pueden armarse para una intención maliciosa.
En un tablado de ataque hipotético, un adversario puede emplear la vulnerabilidad para remitir a una víctima una cámara web trasera, o adjuntarla a una computadora si es capaz de reforzar el llegada físico y emitir comandos de forma remota para comprometer una computadora para aguantar a sitio la actividad de explotación posterior.
Badusb, demostrado por primera vez hace más de una período por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, esencialmente reprogramándolo para ejecutar comandos discretos o ejecutar programas maliciosos en la computadora del víctima.
“A diferencia del malware tradicional, que vive en el sistema de archivos y a menudo puede ser detectado por las herramientas antivirus, BadUSB vive en la capa de firmware”, señala Ivanti en una explicación de la amenaza publicada a fines del mes pasado. “Una vez conectado a una computadora, un dispositivo BADUSB puede: rivalizar un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de Internet, (y) exfiltrar datos confiliosos”.
En los últimos primaveras, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtieron que el orden de amenazas motivado financieramente rastreado como FIN7 ha recurrido a los dispositivos USB maliciosos de organizaciones estadounidenses con sede en los Estados Unidos para entregar un malware llamado DiCeloader.
El posterior descubrimiento de Eclypsium muestra que un periférico basado en USB, como las cámaras web que ejecutan Linux, que inicialmente no pretendía ser maliciosa, puede ser un vector para un ataque BadusB, marcando una ascensión significativa. Específicamente, se ha opuesto que tales dispositivos pueden ser secuestrados y transformados remotamente en dispositivos BadUSB sin ser desconectados o reemplazados físicamente.
“Un atacante que apetencia la ejecución del código remoto en un sistema puede reflexionar el firmware de una cámara web con motor Linux, reutilizándolo para que se comporte como un HID astuto o para rivalizar dispositivos USB adicionales”, explicaron los investigadores.
“Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, ofrecer cargas enseres maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara típico”.
Adicionalmente, los actores de amenaza con la capacidad de modificar el firmware de la cámara web pueden ganar un veterano nivel de persistencia, lo que les permite reinfectar la computadora víctima con malware incluso a posteriori de que se haya limpiado y el sistema eficaz se reinstale.
Las vulnerabilidades descubiertas en las cámaras web FHD de Lenovo 510 FHD y Lenovo Performance se relacionan con la forma en que los dispositivos no validan el firmware, como resultado de los cuales son susceptibles a un compromiso completo del software de la cámara a través de ataques de estilo BADUSB, poliedro que ejecutan Linux con soporte de dispositivos USB.
Posteriormente de la divulgación responsable con Lenovo en abril de 2025, el fabricante de la PC ha atrevido actualizaciones de firmware (traducción 4.8.0) para mitigar las vulnerabilidades y ha trabajado con la compañía china Sigmastar para difundir una utensilio que conecta el problema.
“Este primer ataque de su tipo resalta un vector sutil pero profundamente problemático: las computadoras empresariales y de consumo a menudo confían en sus periféricos internos y externos, incluso cuando esos periféricos son capaces de ejecutar sus propios sistemas operativos y aceptar instrucciones remotas”, dijo Eclypsium.
“En el contexto de las cámaras web de Linux, el firmware no firmado o mal protegido permite a un atacante trastornar no solo el host, sino además en el que se conecta la cámara, propagando la infección y eludir los controles tradicionales”.
