(https://i.postimg.cc/T3SNLJ7d/Malware-1.png) (https://postimg.cc/pmfJ3zM4)
Investigadores de ciberseguridad han revelado vulnerabilidades en algunos modelos de cámaras web de Lenovo que podrían convertirlas en dispositivos de ataque BadUSB.
(https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLMQ1yB-tKJ_A3fVrOoMSC2CGu5Ei6MpYBojRSwvZDUJpmCTHqxA9JgFKcL3MRV4LZ_2uz9CM5Eb9revaYBGMB6hLkuRY0_siLzWqA2PBXoEfHFqoKB1e4vuBKwSHF3bftIXU_SeeGWuXmyBEbA8DTj0udpJpjVXVsZ5EPOVAl4CaiNTbTal7LUE46V0Jm/s728-rw-e365/cams.jpg)
"Esto permite a atacantes remotos inyectar pulsaciones de teclas de forma encubierta y lanzar ataques independientemente del sistema operativo anfitrión", afirmaron los investigadores de Eclypsium, Paul Asadoorian, Mickey Shkatov y Jesse Michael, en un informe compartido.
La empresa de seguridad de firmware ha bautizado las vulnerabilidades como BadCam. Los hallazgos se presentaron hoy en la conferencia de seguridad DEF CON 33.
Este desarrollo probablemente marca la primera vez que se demuestra que los actores de amenazas que obtienen el control de un periférico USB basado en Linux, ya conectado a un ordenador, pueden ser utilizados con fines maliciosos.
En un escenario de ataque hipotético, un adversario podría aprovechar la vulnerabilidad para enviar a la víctima una cámara web con puerta trasera, o conectarla a un ordenador si logra asegurar el acceso físico, y emitir comandos remotos para comprometer un ordenador y llevar a cabo actividades posteriores a la explotación.
BadUSB, demostrado por primera vez hace más de una década por los investigadores de seguridad Karsten Nohl y Jakob Lell en la conferencia Black Hat de 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, reprogramándolo para ejecutar comandos o programas maliciosos discretamente en el ordenador de la víctima.
"A diferencia del malware tradicional, que reside en el sistema de archivos y suele ser detectado por herramientas antivirus, BadUSB reside en la capa de firmware", señala Ivanti en una explicación de la amenaza publicada a finales del mes pasado. "Una vez conectado a un ordenador, un dispositivo BadUSB puede: emular un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de internet y exfiltrar datos confidenciales".
En los últimos años, Mandiant, propiedad de Google, y el FBI de EE. UU. han advertido que el grupo de amenazas con fines financieros, identificado como FIN7, ha recurrido al envío de dispositivos USB maliciosos "BadUSB" a organizaciones estadounidenses para distribuir un malware llamado DICELOADER.
El último descubrimiento de Eclypsium muestra que un periférico USB, como las cámaras web con Linux, que inicialmente no estaban diseñadas para ser maliciosas, puede ser un vector para un ataque BadUSB, lo que marca una escalada significativa. En concreto, se ha descubierto que estos dispositivos pueden ser secuestrados remotamente y transformados en dispositivos BadUSB sin necesidad de desconectarlos ni reemplazarlos físicamente.
«Un atacante que consiga la ejecución remota de código en un sistema puede reinstalar el firmware de una cámara web conectada con Linux, adaptándola para que se comporte como un HID malicioso o para emular dispositivos USB adicionales», explicaron los investigadores.
«Una vez armada, la cámara web, aparentemente inocua, puede inyectar pulsaciones de teclas, entregar cargas útiles maliciosas o servir como punto de apoyo para una persistencia más profunda, todo ello manteniendo la apariencia y la funcionalidad básica de una cámara estándar».
Además, los actores de amenazas con la capacidad de modificar el firmware de la cámara web pueden lograr un mayor nivel de persistencia, lo que les permite volver a infectar la computadora víctima con malware incluso después de haberla borrado y reinstalado el sistema operativo.
Las vulnerabilidades descubiertas en las cámaras web Lenovo 510 FHD y Lenovo Performance FHD se deben a que los dispositivos no validan el firmware, lo que los hace susceptibles a ataques tipo BadUSB, dado que ejecutan Linux con compatibilidad con dispositivos USB.
Tras una divulgación responsable a Lenovo en abril de 2025, el fabricante de PC lanzó actualizaciones de firmware (versión 4.8.0) para mitigar las vulnerabilidades y colaboró con la empresa china SigmaStar para lanzar una herramienta que soluciona el problema.
"Este ataque, pionero en su tipo, pone de manifiesto un vector sutil pero profundamente problemático: los ordenadores empresariales y de consumo suelen confiar en sus periféricos internos y externos, incluso cuando estos son capaces de ejecutar sus propios sistemas operativos y aceptar instrucciones remotas", declaró Eclypsium.
"En el contexto de las cámaras web Linux, el firmware sin firmar o con poca protección permite a un atacante subvertir no solo el host, sino también cualquier host futuro al que se conecte la cámara, propagando la infección y evadiendo los controles tradicionales".
Fuente:
The Hacker News
https://thehackernews.com/2025/08/linux-based-lenovo-webcams-flaw-can-be.html