El gigante estadounidense de energía y electrónica Eaton solucionó una vulnerabilidad de seguridad que permitió a un investigador de seguridad acceder de forma remota a miles de sistemas de alarma de seguridad inteligentes.
investigador de seguridad Vangelis Stykas dijo que encontró la vulnerabilidad en SecureConnect de Eaton, un sistema basado en la nube que permite a los clientes acceder, administrar y armar y desarmar de forma remota sus sistemas de alarma de seguridad desde una aplicación móvil.
Stykas dijo que la vulnerabilidad permitía que cualquier persona se registrara como un nuevo usuario y asignara esa cuenta a cualquier otro grupo de usuarios, incluido un grupo «raíz», que tiene acceso a todos los sistemas de alarma inteligente conectados a la nube de Eaton.
La vulnerabilidad se conoce como una referencia de objeto directo inseguro, o IDOR, una clase de error de seguridad que permite el acceso sin control a archivos, datos o cuentas de usuario debido a controles de acceso débiles o inexistentes en un servidor. Stykas dijo que el error era fácil de explotar usando herramientas intermedias como Burp Suite al interceptar el número de grupo del nuevo usuario y cambiarlo por el número del grupo raíz, que era simplemente «1».
Stykas dijo que agregar un usuario al grupo raíz «le dio acceso a todo», incluido el nombre y la dirección de correo electrónico del usuario registrado, y la ubicación de cada sistema de alarma de seguridad conectado. Stykas dijo que el acceso podría haber permitido a un posible atacante controlar de forma remota los sistemas de alarma de seguridad conectados a la nube de Eaton, aunque no lo intentó.
En una notificación de seguridad publicada en su sitio web, Eaton confirmó que se descubrió el error en su lógica de autorización de acceso grupal.
Jonathan Hart, portavoz de Eaton, dijo que la vulnerabilidad se solucionó en mayo. Hart se negó a decir cuántos clientes de alarmas inteligentes tiene, aunque Stykas dijo que la cantidad de sistemas de alarmas inteligentes conectados de Eaton era de decenas de miles.
Eaton se negó a decir si la vulnerabilidad permitía el control remoto de los sistemas de alarma de seguridad conectados. Eaton dijo que se «verificó que la vulnerabilidad era un evento único», pero no dijo cómo llegó a esta conclusión o si la empresa tiene los medios técnicos, como sistemas de registro, para determinar si la vulnerabilidad se descubrió o explotó previamente.