1

Cisco reporta inseguridad en equipos de IoT

La empresa Cisco advirtió este lunes que algunos vendedores de dispositivos conectados están fallando en la toma de medidas básicas de seguridad.

Destacó que han encontrado reiteradamente un defecto en el control del termóstato conectado a Internet, típico entre los productos de vendedores que no muy versados ​​en la seguridad de la red.

El informe presentado por Cisco señala, en particular, las fallas del termóstato ComfortLink II, elaborado por Trane.

Los termostatos permiten a los usuarios controlar la temperatura ambiente desde un dispositivo móvil, visualizar el tiempo e, incluso actuar como un marco de fotos digitales.

La Unidad Talos de Cisco señaló que, finalmente, la empresa ha parcheado la falla aunque el reporte se viene haciendo desde hace casi dos años, coincidiendo con las fechas en que Trane salió a la bolsa.

Desde Talos

El experto destacó que las fallas son frecuentes y pueden influir en el desarrollo del Internet de las Cosas (IoT) en los próximos años.

Cisco encontró tres vulnerabilidades que podrían ser utilizados para obtener el control remoto del termóstato, ejecutar un código malicioso y, por esta vía, acceder a la red local.

“Trane fue notificada en abril de 2014. se parcheado dos de las vulnerabilidades en abril de 2015 y la final el 27 de enero”, destacó Chiu.

El firmware del ComfortLink II contenía dos conjuntos de credenciales de usuario con contraseñas codificadas. Un atacante podría iniciar sesión en el dispositivo a través del SSH y luego tendrían acceso a un pleno funcionamiento en el ambiente BusyBox, el cual constituye un conjunto de herramientas embebidas para sistemas operativos Linux.

Las otras dos vulnerabilidades relacionadas con un desbordamiento de búfer , que podrían ser explotadas por hackers y permitir el acceso a la red. La versión actualizada del firmware ComfortLink II es 4.0.3, que está disponible en la página web de Trane.