Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor

Publicado el 28 de septiembre de 2020
por el doctor Matias Madou
ESTUDIO DE CASO

Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor

Publicado el 28 de septiembre de 2020
por el doctor Matias Madou
Ver recurso
Ver recurso

Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.

Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.

Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.

Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.

"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".

Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.

Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.

La raíz del problema

Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).

Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.

El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.

Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.

Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.

En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.

El camino seguro hacia adelante

Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.

A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.

Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.

¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?

Juega a estos desafíos gamificados en:

Ver recurso
Ver recurso

Autor

Doctor Matias Madou

Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.

Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.

¿Quieres más?

Sumérjase en nuestras últimas ideas sobre codificación segura en el blog.

Nuestra amplia biblioteca de recursos tiene como objetivo potenciar el enfoque humano de la mejora de la codificación segura.

Ver blog
¿Quieres más?

Obtenga las últimas investigaciones sobre la seguridad impulsada por los desarrolladores

Nuestra amplia biblioteca de recursos está repleta de recursos útiles, desde libros blancos hasta seminarios web, que le ayudarán a iniciarse en la codificación segura orientada a los desarrolladores. Explórela ahora.

Centro de recursos

Las vulnerabilidades de ClickShare pueden haber sido parcheadas, pero ocultan un problema mucho mayor

Publicado el 28 de septiembre de 2020
Por el doctor Matias Madou

Una versión de este artículo apareció en DevOps.com. Se ha actualizado para su sindicación aquí, e incluye enlaces interactivos a los retos de vulnerabilidad.

Creo que todos podemos recordar alguna vez, en una reunión o conferencia, en la que alguien haya tenido problemas con la tecnología de las presentaciones. Ocurre tan a menudo que casi se espera una experiencia torpe, al menos al principio. No es de extrañar, por tanto, que la aplicación de ClickShare haya sido inmediatamente popular entre los usuarios finales. Para ellos, no hay nada más fácil que utilizar una aplicación de ClickShare para trasladar una presentación desde su portátil, tableta o smartphone a una pantalla grande o a un proyector de sala de conferencias. El proveedor de tecnología de imagen y proyección digital Barco, con sede en Bélgica, diseñó su plataforma de automatización para que funcionara así, y las grandes empresas adoptaron el concepto. FutureSource Consulting sitúa la cuota de mercado de Barco en tecnología de conferencias en un 29%, con integración en el 40% de las empresas de la lista Fortune 1.000.

Cuando los investigadores de F-Secure revelaron en diciembre que la aparentemente inocua plataforma de automatización estaba plagada de vulnerabilidades de seguridad, se produjo una gran conmoción en la comunidad empresarial. Los fallos de seguridad descubiertos son de naturaleza crítica, y podrían permitir cualquier número de actividades maliciosas.

Los investigadores demostraron cómo las vulnerabilidades podían permitir a los usuarios remotos fisgonear presentaciones activas, crear puertas traseras en redes seguras o incluso configurar un servidor de distribución de software espía que infectara a todos los usuarios que se conectaran a un dispositivo Barco. De repente, las empresas se enfrentaron a la perspectiva de tener graves problemas de seguridad instalados directamente en las salas de conferencias y oficinas de toda su organización. Y debido a la naturaleza de las vulnerabilidades, un solo dispositivo comprometido podría soportar una brecha en toda la red.

"Un atacante que logre comprometer una unidad obtiene la capacidad de descifrar, así como de producir imágenes cifradas válidas para cualquier unidad, ya sea dentro de una familia o entre familias", escribieron los responsables de F-Secure en su informe. "Además, dicho atacante puede obtener acceso a los datos sensibles en reposo, como el PSK y los certificados configurados del Wi-Fi".

Hay que reconocer que Barco ha sido muy proactivo en la emisión de parches y correcciones de las vulnerabilidades encontradas en sus productos. El proveedor de seguridad Tenable ha publicado recientemente un informe que muestra 15 vulnerabilidades en ocho herramientas de presentación, incluida Barco. Hasta febrero, sólo Barco ha sido activo en el despliegue de correcciones.

Aunque algunas de las vulnerabilidades de Barco requieren cambios en el hardware (y éstos serán una pesadilla para desplegar, si es que una empresa actúa hasta este punto para asegurarlas), muchas de ellas pueden corregirse con parches de software. Esto da a la mayoría de los usuarios de la empresa un plan aparentemente bueno para arreglar sus problemas inmediatos, pero difícilmente están en el claro ahora. Los problemas con Barco son sólo la punta del iceberg cuando se trata de lidiar con las vulnerabilidades de productos de hardware y software bien conocidos.

La raíz del problema

Ahora que los problemas inmediatos se han resuelto, tenemos que preguntarnos cómo los dispositivos con graves fallos de seguridad acabaron en miles de salas de conferencias de todo el mundo, o por qué estaban tan mal diseñados y programados en primer lugar. No es que el equipo de F-Secure estuviera descubriendo vulnerabilidades de día cero o desconocidas hasta entonces. Diez de los fallos descubiertos en los productos de Barco estaban asociados a vulnerabilidades conocidas y comunes, como los ataques de inyección de código. La mayoría ya tenían identificaciones de Vulnerabilidades y Exposiciones Comunes (CVE).

Entonces, ¿cómo se codificaron los CVEs de hace décadas, o incluso se incorporaron a las herramientas de presentación modernas? La única respuesta posible es que los desarrolladores no los conocían o que la seguridad no era una prioridad cuando se diseñaban los dispositivos de Barco. Lamentablemente, esta es una situación común, y ciertamente no es exclusiva de los equipos de Barco.

El mejor momento para solucionar una vulnerabilidad es mientras se desarrolla una aplicación, mucho antes de que se envíe a los usuarios. El peor momento (y el más caro) es después de que un producto se haya desplegado, o después de que haya sido explotado por los atacantes. Esta puede ser una dura lección, que seguramente aprenderá Barco cuando su cuota de mercado, antes impenetrable, se vea afectada tras este fiasco de seguridad.

Reorientar las soluciones de seguridad hacia el proceso de desarrollo no es fácil, pero es necesario en el mundo actual, en el que incluso los dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados en red con todo lo demás. En este entorno, la seguridad debe convertirse en una buena práctica organizativa. No importa si una empresa está programando aplicaciones para las redes sociales o fabricando tostadoras inteligentes, la seguridad debe tenerse en cuenta en todas las facetas de una organización.

Dar prioridad a las mejores prácticas de seguridad y convertirlas en una responsabilidad compartida es el objetivo del movimiento DevSecOps, en el que los equipos de desarrollo, seguridad y operaciones trabajan juntos para codificar y desplegar software y productos seguros. Esto requiere un cambio de cultura como cualquier otra cosa. La nueva mentalidad debe ser que desplegar un producto que funcione con vulnerabilidades de seguridad es un fracaso tan grande como crear uno que no pueda realizar su función principal.

En un entorno DevSecOps saludable, cualquier persona que toque el software debe ser consciente de la seguridad, y los desarrolladores deben recibir formación relevante y frecuente para evitar introducir errores desastrosos en su trabajo. Si los equipos que trabajan para Barco hubieran considerado la seguridad como una responsabilidad compartida, es imposible que una colección tan grande de vulnerabilidades, incluyendo CVEs de hace décadas, hubiera llegado a sus herramientas de presentación.

El camino seguro hacia adelante

Nadie quiere ser el próximo Barco, teniendo que explicar por qué fallos de seguridad bien conocidos se desplegaron a través de sus dispositivos a miles de redes empresariales en todo el mundo. Para evitar ese destino, las empresas que desarrollan software o hardware inteligente deben priorizar inmediatamente la seguridad como una responsabilidad compartida y una mejor práctica organizativa. Crear un programa DevSecOps saludable llevará tiempo y probablemente también requiera un cambio de cultura, pero los resultados merecerán la pena. Un DevSecOps robusto puede aplastar las vulnerabilidades mucho antes de que causen problemas.

A las empresas que compran productos y software les conviene apoyar a las empresas que han adoptado DevSecOps. De este modo, se asegurarán de que los dispositivos y el software que adquieran no sean bombas de relojería a la espera de ser explotados por atacantes cada vez más hábiles.

Consulte las páginas del Secure Code Warrior páginas del blog para obtener más información sobre DevSecOps, y cómo proteger a su organización y a sus clientes de los estragos de los fallos de seguridad y las vulnerabilidades.

¿Quieres conocer a fondo los fallos de seguridad que ha sufrido Barco?

Juega a estos desafíos gamificados en:

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.