15 ago 2019

Cisco pagará 8,6 millones por vender software de videovigilancia con graves problemas de seguridad

Cisco pagará 8,6 millones de dólares para poner fin a la demanda que le enfrenta a varios organismos federales y estatales de Estados Unidos por exponerles a serios riesgos de ciberseguridad. De forma "voluntaria" la compañía de telecomunicaciones pagará 2,6 millones de euros al gobierno federal y otros 6 millones a distintas entidades públicas de 15 estados diferentes, que se habían unido para presentar una demanda conjunta.

Según explicaron los afectados en su momento, Cisco vendió a todos estos organismos software para cámaras de videovigilancia que tenía fallos graves a nivel de seguridad, y que podrían haber sido explotados con gran facilidad por cualquier grupo cibercriminal. Sin embargo y lo que resulta aún más preocupante, es que al parecer Cisco era plenamente consciente de los problemas que presentaba el software: Video Survellaince Manager, el software en cuestión y que fue distribuido entre 2008 y 2014, fue desarrollado en un primer momento por Broadware, compañía que Cisco adquirió en 2007.

En defensa de Cisco, Mark Chandler, vicepresidente ejecutivo de la compañía, ha explicado que "Broadware utilizó de forma intencionada una arquitectura abierta, para permitir la implementación de aplicaciones y soluciones de seguridad adaptadas a las necesidades de cada cliente. Es cierto que debido a esa arquitectura abierta, teóricamente los feeds de vídeo podrían haber sido susceptibles de haber sido atacados por un grupo hacker, pero no hay ninguna prueba de que ninguna de las cámaras de seguridad instaladas haya visto comprometida su seguridad. En 2009 publicamos un documento de 'Buenas prácticas' en el que recomendábamos a nuestro canal de distribución a que prestasen atención especial a la hora de securizar este software en concreto. Además en 2013, aconsejamos a todos nuestros clientes que actualizasen a una nueva versión que corregía todos estos problemas".

Y en parte todo esto es cierto. En 2013 Cisco publicó un parche de seguridad para su Video Surveillance Manager en cuya descripción, podía leerse lo siguiente: "multiple security vulnerabilities exist in versions of Cisco VSM prior to 7.0.0, which may allow an attacker to gain full administrative privileges on the system". ¿El problema? Que esas mismas vulnerabilidades estaban presentes en el sistema desde 2008.

El caso se hizo público en 2011, cuando alguien envió al buzón «para informantes anónimos» del despacho de abogados Philips&Cohen, pruebas de que "Cisco habría vendido directa e indirectamente a agencias federales, así como a entidades gubernamentales estatales y locales un sistema de vigilancia del que sabía que poseía problemas de seguridad peligrosos, no revelados e inaceptables".

Según este despacho de abogados, que en ese momento presenta la demanda, "el denunciante presentó varios informes detallados a Cisco que supuestamente revelan que cualquier persona con un conocimiento moderado de la seguridad de la red podría explotar este software para obtener un acceso no autorizado a los datos almacenados, pasar por alto los sistemas de seguridad física y obtener acceso administrativo a toda la red de un organismo gubernamental, todo ello sin ser detectado. A pesar de las repetidas advertencias internas sobre los defectos de VSM, Cisco supuestamente continuó vendiendo este software".

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!