Se descubrió una vulnerabilidad crítica que transforma las cámaras web ordinarias que funcionan con Linux en herramientas de ataque BADUSB armadas, permitiendo a los piratas informáticos remotos inyectar pulsaciones de teclas maliciosas y comprometer sistemas objetivo sin detección.
La investigación, presentada en Def Con 2025, demuestra el primer caso conocido en el que los atacantes pueden armarse de forma remota dispositivos USB ya conectados a las computadoras, marcando una evolución significativa en las metodologías de ataque cibernético.
Control de llave
1. Los piratas informáticos arman remotamente las cámaras web de Lenovo en herramientas BADUSB de inyección de pulsación de tecla.
2. El ataque sobrevive a las toallitas del sistema explotando fallas de validación de firmware.
3. Lenovo emitió correcciones, pero otros dispositivos USB de Linux siguen siendo vulnerables.
Arma de las cámaras web de Linux
Eclypsio informes Que la falla de seguridad afecta las cámaras web FHD de Lenovo 510 FHD de rendimiento fabricadas por Sigmastar, que utiliza el procesador SSC9351D SSC9351D de SSC9351D (SOC) con arquitectura CPU ARM de doble núcleo con memoria DDR3 incrustada.
Estos dispositivos ejecutan un sistema operativo Linux completo, específicamente “Linux (Ninguno) 4.9.84 #445 SMP PREEMP Martes 22 de marzo de marzo 17:08:22 CST 2022 ARMV7L GNU/Linux”, los hace vulnerables a los ataques de manipulación de firmware.
La vulnerabilidad crítica proviene de la ausencia de validación de firma de firmware durante el proceso de actualización. Los atacantes pueden explotar esta debilidad enviando comandos específicos a través de USB para comprometer completamente la memoria SPI Flash de 8 MB de la cámara.
Cadena de ataque
La secuencia de ataque implica ejecutar comandos como SF Probe 0, SF Erase 0x50000 0x7B0000 y TFTP 0x21000000 lenovo_hd510_ota_v4.6.2.bin, seguido de SF Write 0x21000000 0x50000 0x7B0000 para sobreconstruir el firmware de entreada.
El ataque aprovecha la funcionalidad del dispositivo USB de Linux, una característica del núcleo que permite que los dispositivos basados en Linux se disfrazen de varios periféricos USB, incluidos teclados, dispositivos de almacenamiento masivo o adaptadores de red.
Esta capacidad transforma la cámara web en un dispositivo de interfaz humano (HID) capaz de inyectar pulsaciones de teclas, ejecutar comandos maliciosos y mantener un acceso persistente a sistemas comprometidos.
A diferencia de los ataques tradicionales de BadUSB que requieren reemplazo de dispositivos físicos, esta técnica permite a los atacantes remotos que han obtenido acceso inicial al sistema a reflashar el firmware de la cámara web y establecer una puerta trasera persistente.
La cámara web armada puede reinfectar posteriormente la computadora host incluso después de una reinstalación completa del sistema, proporcionando capacidades de persistencia sin precedentes.
Mitigaciones
Lenovo ha respondido desarrollando una herramienta de instalación de firmware actualizada que aborda la falla de validación de firma, lanzando las actualizaciones de firmware de la versión 4.8.0 para ambos modelos de cámara web afectadas.
La empresa asignada CVE-2025-4371 Para rastrear esta vulnerabilidad y trabajó con Sigmastar para implementar medidas de seguridad adecuadas.
La investigación revela un panorama de amenazas más amplio, ya que numerosos periféricos USB más allá de las cámaras web pueden contener arquitecturas similares basadas en Linux vulnerables a la armas.
Los expertos en seguridad advierten que cualquier dispositivo conectado a USB que ejecute Linux sin validación de firmware podría explotarse utilizando vectores de ataque similares, desafiando fundamentalmente modelos de seguridad de punto final tradicional y que requiere mecanismos de verificación de confianza de hardware mejorados.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
