Los investigadores de ciberseguridad han revelado vulnerabilidades en cámaras web maniquí seleccionadas de Lenovo que podrían convertirlos en dispositivos de ataque Badusb.
«Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y propalar ataques independientemente del sistema operante host», dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael en un noticia compartido con las noticiario de Hacker.
Las vulnerabilidades han sido nombradas en código BADCAM por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 hoy.
Es probable que el avance marca la primera vez que se ha demostrado que los actores de amenaza que obtienen el control de un periférico USB basado en Linux que ya está conectado a una computadora se pueden armarse para una intención maliciosa.
En un tablado de ataque hipotético, un adversario puede rendir la vulnerabilidad para despachar a una víctima una cámara web trasera, o adjuntarla a una computadora si es capaz de apoyar el acercamiento físico y emitir comandos de forma remota para comprometer una computadora para sobrellevar a punta la actividad de explotación posterior.
Badusb, demostrado por primera vez hace más de una división por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, esencialmente reprogramándolo para ejecutar comandos discretos o ejecutar programas maliciosos en la computadora del víctima.
«A diferencia del malware tradicional, que vive en el sistema de archivos y a menudo puede ser detectado por las herramientas antivirus, BadUSB vive en la capa de firmware», señala Ivanti en una explicación de la amenaza publicada a fines del mes pasado. «Una vez conectado a una computadora, un dispositivo BADUSB puede: competir un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de Internet, (y) exfiltrar datos confiliosos».
En los últimos abriles, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtieron que el comunidad de amenazas motivado financieramente rastreado como FIN7 ha recurrido a los dispositivos USB maliciosos de organizaciones estadounidenses con sede en los Estados Unidos para entregar un malware llamado DiCeloader.
El zaguero descubrimiento de Eclypsium muestra que un periférico basado en USB, como las cámaras web que ejecutan Linux, que inicialmente no pretendía ser maliciosa, puede ser un vector para un ataque BadusB, marcando una ascensión significativa. Específicamente, se ha enfrentado que tales dispositivos pueden ser secuestrados y transformados remotamente en dispositivos BadUSB sin ser desconectados o reemplazados físicamente.
«Un atacante que apetencia la ejecución del código remoto en un sistema puede reflexionar el firmware de una cámara web con motor Linux, reutilizándolo para que se comporte como un HID solapado o para competir dispositivos USB adicionales», explicaron los investigadores.
«Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, ofrecer cargas enseres maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara unificado».
Adicionalmente, los actores de amenaza con la capacidad de modificar el firmware de la cámara web pueden obtener un maduro nivel de persistencia, lo que les permite reinfectar la computadora víctima con malware incluso a posteriori de que se haya limpiado y el sistema operante se reinstale.
Las vulnerabilidades descubiertas en las cámaras web FHD de Lenovo 510 FHD y Lenovo Performance se relacionan con la forma en que los dispositivos no validan el firmware, como resultado de los cuales son susceptibles a un compromiso completo del software de la cámara a través de ataques de estilo Badusb, cedido que ejecutan Linux con soporte de dispositivos USB.
Posteriormente de la divulgación responsable con Lenovo en abril de 2025, el fabricante de la PC ha resuelto actualizaciones de firmware (lectura 4.8.0) para mitigar las vulnerabilidades y ha trabajado con la compañía china Sigmastar para propalar una utensilio que conecta el problema.
«Este primer ataque de su tipo resalta un vector sutil pero profundamente problemático: las computadoras empresariales y de consumo a menudo confían en sus periféricos internos y externos, incluso cuando esos periféricos son capaces de ejecutar sus propios sistemas operativos y aceptar instrucciones remotas», dijo Eclypsium.
«En el contexto de las cámaras web de Linux, el firmware no firmado o mal protegido permite a un atacante trastornar no solo el host, sino incluso en el que se conecta la cámara, propagando la infección y eludir los controles tradicionales».
