Vulnerabilidad en aspiradoras Shark permite control regional por atacantes

Publicado el

Nueva vulnerabilidad en Shark RV2320EDUS

Un investigador ha descubierto una vulnerabilidad crítica en las aspiradoras robot Shark RV2320EDUS que podría permitir a los atacantes ejecutar comandos en otros dispositivos de la misma región de AWS. Al extraer un certificado del flash de la aspiradora, es posible acceder a funciones como la cámara, el control del robot, la lectura del mapa del hogar y obtener la contraseña de Wi-Fi en texto plano.

El investigador, conocido como tokay0, publicó su hallazgo el pasado lunes, afirmando que probó el método únicamente en los dispositivos que adquirió. La vulnerabilidad permanece sin parchear, a pesar de que SharkNinja, la compañía responsable de las marcas Shark y Ninja, recibió el informe en marzo. El problema radica en que la política asociada con el certificado no estaba limitada al dispositivo que lo poseía. Presentar el certificado al intermediario en la nube de Shark permite que cualquier publicación sea aceptada, afectando a todos los dispositivos que gestiona.

Cómo se explota la vulnerabilidad

El investigador utilizó el certificado de un RV2320EDUS para suscribirse a `$aws/things/#` y monitorear el tráfico entre el intermediario, recopilando números de serie en el proceso. La forma en que se ejecutan los comandos es a través de un campo normal en el documento de estado por dispositivo, conocido como shadow. Al enviar una actualización de shadow que contiene el campo `Exec_Command`, cualquier dispositivo que implemente el manejador ejecutará el comando. Tokay0 logró establecer una shell inversa en un modelo AV1102ARUS, lo que le permitió acceder a la cámara del dispositivo mientras se movía.

El certificado se puede extraer fácilmente con un destornillador, y la placa principal expone pines UART sin requerir contraseña. Esto permite al atacante acceder a un shell raíz, donde se encuentran tanto la clave como el certificado del dispositivo. Los certificados están restringidos a su región de AWS, lo que limita el alcance del ataque a esa área específica.

Impacto y alcance de la amenaza

Tokay0 observó que, en un periodo de 24 horas, contabilizó más de un millón de aspiradoras Shark activas en una región de AWS, de las cuales un 44% respondió a comandos ejecutados, lo que sugiere que son vulnerables a esta explotación. Aunque la cifra inicial de millones fue mencionada, el investigador aclara que el número real de dispositivos comprometidos podría ser mayor.

Falta de respuesta de SharkNinja

A pesar de que tokay0 se puso en contacto con SharkNinja el 1 de marzo y envió detalles el 11 de marzo, la compañía no ha proporcionado actualizaciones sobre el estado del parche. Tras varias interacciones, SharkNinja minimizó la gravedad del problema y cuestionó la necesidad de asignar un CVE. Hasta la fecha, no se ha publicado ninguna información oficial sobre la vulnerabilidad ni se ha asignado un identificador CVE, lo que dificulta la gestión del riesgo.

Solución necesaria

La solución a esta vulnerabilidad no depende del usuario, ya que reside en la cuenta de AWS de SharkNinja y no en el firmware del robot. Según las directrices de remediación de AWS, es necesario reemplazar la política no compliant por una versión restringida utilizando `CreatePolicyVersion`. La falta de acción por parte de SharkNinja plantea serias preocupaciones sobre la seguridad de los dispositivos IoT en su línea de productos.

Fuente

Ver noticia original