Los investigadores de ciberseguridad han revelado vulnerabilidades en cámaras web modelo seleccionadas de Lenovo que podrían convertirlos en dispositivos de ataque Badusb.
«Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y lanzar ataques independientemente del sistema operativo host», dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael en un informe compartido con las noticias de Hacker.
Las vulnerabilidades han sido nombradas en código BADCAM por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 hoy.
Es probable que el desarrollo marca la primera vez que se ha demostrado que los actores de amenaza que obtienen el control de un periférico USB basado en Linux que ya está conectado a una computadora se pueden armarse para una intención maliciosa.
En un escenario de ataque hipotético, un adversario puede aprovechar la vulnerabilidad para enviar a una víctima una cámara web trasera, o adjuntarla a una computadora si es capaz de asegurar el acceso físico y emitir comandos de forma remota para comprometer una computadora para llevar a cabo la actividad de explotación posterior.
Badusb, demostrado por primera vez hace más de una década por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, esencialmente reprogramándolo para ejecutar comandos discretos o ejecutar programas maliciosos en la computadora del víctima.
«A diferencia del malware tradicional, que vive en el sistema de archivos y a menudo puede ser detectado por las herramientas antivirus, BadUSB vive en la capa de firmware», señala Ivanti en una explicación de la amenaza publicada a fines del mes pasado. «Una vez conectado a una computadora, un dispositivo BADUSB puede: emular un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de Internet, (y) exfiltrar datos confiliosos».
En los últimos años, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) advirtieron que el grupo de amenazas motivado financieramente rastreado como FIN7 ha recurrido a los dispositivos USB maliciosos de organizaciones estadounidenses con sede en los Estados Unidos para entregar un malware llamado DiCeloader.
El último descubrimiento de Eclypsium muestra que un periférico basado en USB, como las cámaras web que ejecutan Linux, que inicialmente no pretendía ser maliciosa, puede ser un vector para un ataque BadusB, marcando una escalada significativa. Específicamente, se ha encontrado que tales dispositivos pueden ser secuestrados y transformados remotamente en dispositivos BadUSB sin ser desconectados o reemplazados físicamente.
«Un atacante que gana la ejecución del código remoto en un sistema puede reflexionar el firmware de una cámara web con motor Linux, reutilizándolo para que se comporte como un HID malicioso o para emular dispositivos USB adicionales», explicaron los investigadores.
«Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, ofrecer cargas útiles maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara estándar».
Además, los actores de amenaza con la capacidad de modificar el firmware de la cámara web pueden lograr un mayor nivel de persistencia, lo que les permite reinfectar la computadora víctima con malware incluso después de que se haya limpiado y el sistema operativo se reinstale.
Las vulnerabilidades descubiertas en las cámaras web FHD de Lenovo 510 FHD y Lenovo Performance se relacionan con la forma en que los dispositivos no validan el firmware, como resultado de los cuales son susceptibles a un compromiso completo del software de la cámara a través de ataques de estilo BADUSB, dado que ejecutan Linux con soporte de dispositivos USB.
Después de la divulgación responsable con Lenovo en abril de 2025, el fabricante de la PC ha lanzado actualizaciones de firmware (versión 4.8.0) para mitigar las vulnerabilidades y ha trabajado con la compañía china Sigmastar para lanzar una herramienta que conecta el problema.
«Este primer ataque de su tipo resalta un vector sutil pero profundamente problemático: las computadoras empresariales y de consumo a menudo confían en sus periféricos internos y externos, incluso cuando esos periféricos son capaces de ejecutar sus propios sistemas operativos y aceptar instrucciones remotas», dijo Eclypsium.
«En el contexto de las cámaras web de Linux, el firmware no firmado o mal protegido permite a un atacante subvertir no solo el host, sino también en el que se conecta la cámara, propagando la infección y eludir los controles tradicionales».