No podemos negar que gracias a los programas Bug Bounty, muchos programas y firmware han solucionado vulnerabilidades muy graves que, de haber sido descubiertas a cambio por piratas informáticos, podían haber causado grandes daños a los usuarios. Para incentivar a los hackers a buscar y reportar estos fallos, los desarrolladores suelen ofrecer una serie de recompensas económicas que varían en función de la gravedad de la vulnerabilidad. Sin embargo, no todas las compañías están dispuestas a admitir y pagar por los fallos más graves, y una de las que más pegas pone a la hora de aceptar esto es Ubiquiti.

Ubiquiti es un fabricante de dispositivos de red, especialmente de dispositivos para mejorar la conectividad inalámbrica. Ya que este tipo de dispositivos suele estar conectado directamente a Internet y, además, pueden ser fácilmente accesibles para otros usuarios, su seguridad debería ser uno de los pilares base de la compañía, pero, según parece, no es así.

Recientemente, el grupo de hackers español R4S-TEAM ha estado trabajando a través de la plataforma HackerOne reportando y solucionando una serie de vulnerabilidades detectadas en el firmware de los dispositivos de este fabricante. Según Ubiquiti, las recompensas por reportar este tipo de fallos pueden ser de entre 100 y 25.000 dólares, según su gravedad y el tipo de la misma. Como siempre, las vulnerabilidades de ejecución de código, RCE, suelen ser las más graves, o al menos así se entiende.

A pesar de haber pagado grandes cantidades de dinero por vulnerabilidades similares en el pasado, tras reportar nuevas vulnerabilidades RCE similares, la compañía solo decidió pagar 2.000 dólares debido a que, para poder explotarlas, era necesario tener los credenciales del dispositivo. Sin embargo, en esta ocasión, estos hackers han encontrado un nuevo fallo RCE que, además, se puede explotar sin autenticación y que podía ser utilizado para llevar a cabo otros ataques a mayor escala, como, por ejemplo, ataques Cross-Site Scripting o congelar la grabación de cámaras de vigilancia.

It’s not a bug, it’s a feature, según Ubiquiti

Los compañeros de Follow the white Rabbit nos explican en detalle todo el trabajo que han tenido que realizar para poder demostrar la vulnerabilidad, cómo han conseguido demostrarla y todas las conversaciones que han tenido con este fabricante para que, finalmente, además de demostrar cómo se puede explotar el fallo sin autenticación, ellos han decidido considerar que está bien como está y no se trata de un fallo de seguridad.

En el siguiente vídeo se muestra una prueba de concepto de cómo esta vulnerabilidad puede ser explotada de forma muy sencilla.

Aunque el exploit no se va a hacer público, la vulnerabilidad va a seguir estando en todos los dispositivos Ubiquiti. Es muy preocupante que un fabricante de dispositivos de red, dispositivos que, al fin y al cabo, están conectados directamente a Internet y pueden ser explotados por cualquiera, se niegue a reconocer estas vulnerabilidades y, mucho peor, a reconocer el trabajo de verdaderos expertos de seguridad y a solucionar fallos tan graves como este.

Ha dado la casualidad de que los hackers de R4S-TEAM son realmente éticos y han decidido no publicar el exploit, pero, ¿qué hubiera pasado si, finalmente, sí lo hubieran hecho o lo hubieran vendido en el mercado negro para conseguir dinero por su trabajo? Como siempre decimos, si realmente te preocupa tu seguridad en la red, siempre es mejor buscar fabricantes que realmente se preocupen por la seguridad y no que, por ahorrarse algunos dólares decidan ignorar una grave vulnerabilidad RCE como esta.

¿Qué opinas de esta vulnerabilidad y de que Ubiquiti no la admita?