Exploit RCE para Wyze Cam v3 lançada publicamente
31 de Outubro de 2023

Um pesquisador de segurança publicou uma prova de conceito (PoC) para explorar dispositivos Wyze Cam v3 que abre um shell reverso e permite a tomada de dispositivos vulneráveis.

Wyze Cam v3 é uma câmera de segurança interna/externa de alto custo-benefício, com suporte para visão noturna colorida, armazenamento em cartão SD, conectividade de nuvem para controle por smartphone, resistência à intempéries IP65 e mais.

O pesquisador de segurança Peter Geissler (também conhecido como bl4sty) descobriu recentemente duas falhas no último firmware Wyze Cam v3 que podem ser encadeadas para execução de código remoto em dispositivos vulneráveis.

A primeira é um problema de autenticação DTLS (Datagram Transport Layer Security) no daemon 'iCamera', permitindo que os invasores usem PSKs (Pre-Shared Keys) arbitrários durante o aperto de mão TLS para contornar as medidas de segurança.

A segunda falha se manifesta após a sessão DTLS autenticada ter sido estabelecida, quando o cliente envia um objeto JSON.

O código iCamera que analisa o objeto pode ser explorado devido a um mau manejo de um array específico, levando a um estouro de buffer de pilha onde os dados são escritos em partes não-intencionadas da memória.

Os invasores podem tirar vantagem da segunda vulnerabilidade para sobrescrever a memória da pilha e, dado a ausência de recursos de segurança como guardiões de pilha e execução independentes de posição no código iCamera, executar seu próprio código na câmera.

O exploit lançado por Geissler no GitHub encadeia essas duas falhas para dar aos invasores um shell root Linux interativo, transformando câmeras Wyze v3 vulneráveis em backdoors persistentes e permitindo aos invasores se mover para outros dispositivos na rede.

O exploit foi testado e confirmado para trabalhar nas versões de firmware 4.36.10.4054, 4.36.11.4679 e 4.36.11.5859.

A Wyze lançou uma atualização de firmware versão 4.36.11.7071, que resolve os problemas identificados, em 22 de outubro de 2023, portanto, é recomendável que os usuários apliquem a atualização de segurança o mais rápido possível.

Em uma discussão privada, Geissler explicou para BleepingComputer que ele tornou seu exploit público antes que a maioria dos usuários Wyze pudesse aplicar o patch para expressar seu descontentamento com as estratégias de correção da Wyze.

Especificamente, o patch da Wyze veio logo após o prazo de inscrição para o recente evento Pwn2Own Toronto.

Lançar as correções logo após o vencimento do prazo fez com que várias equipes, que tinha um exploit funcional até então, abandonassem o esforço.

A Wyze disse ao pesquisador que a oportunidade foi uma coincidência e que estavam apenas tentando proteger seus clientes contra uma ameaça que haviam descoberto alguns dias antes.

"Quero esclarecer algumas coisas; nós não sabíamos sobre esse problema há anos, isso é um problema na biblioteca de terceiros que nós usamos e nós obtivemos um relatório sobre isso alguns dias antes do Pwn2Own e uma vez que nós recebemos o relatório em nosso programa de bugbounty, nós corrigimos o problema em 3 dias e lançamos para o público," lê-se em um email enviado pela Wyze.

Enquanto Geissler admite que é comum que os fornecedores corrijam um bug que quebre as correntes de exploração antes da competição, ele acusa Wyze de escolher especificamente aquele dispositivo para evitar a RP negativa da competição, pois o bug supostamente não foi corrigido em outros dispositivos.

O BleepingComputer procurou a Wyze para um comentário sobre as acusações de Geissler, mas não recebeu resposta até o momento.

No entanto, a Wyze informou a outro pesquisador de segurança que ficaram cientes do bug da Wyze Cam v3 alguns dias antes da competição e agora estão investigando se o problema está presente no firmware de outros dispositivos.

Neste momento, o PoC já é público, então é provável que vejamos uma exploração em massa no futuro, e os usuários são recomendados a tomar medidas imediatas para corrigir o bug.

Se os usuários não conseguirem aplicar a atualização de firmware, eles devem isolar suas câmeras Wyze de redes que atendem a dispositivos críticos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...