Cybersecurity -onderzoekers hebben kwetsbaarheden bekendgemaakt in geselecteerde modelwebcams van Lenovo die hen in BadusB -aanvalapparaten kunnen veranderen.
“Hierdoor kunnen externe aanvallers geheime toetsaanslagen heimelijk injecteren en aanvallen lanceren, onafhankelijk van het besturingssysteem van de gastheer,” zei Ecypsium -onderzoekers Paul Asadoorian, Mickey Shkatov en Jesse Michael in een rapport gedeeld met het Hacker News.
De kwetsbaarheden zijn door het firmwarebeveiligingsbedrijf voor de codenaam Badcam. De bevindingen werden vandaag gepresenteerd op de DEF Con 33 Security Conference.
De ontwikkeling markeert waarschijnlijk de eerste keer dat het is aangetoond dat dreigingsacteurs die controle krijgen over een op Linux gebaseerde USB-perifeer die al aan een computer is bevestigd, kunnen worden bewapend voor kwaadwillende intentie.
In een hypothetisch aanvalsscenario kan een tegenstander profiteren van de kwetsbaarheid om een slachtoffer een webcam met een achterdeur te sturen, of het aan een computer te bevestigen als ze in staat zijn om fysieke toegang te beveiligen en op afstand opdrachten uit te geven om een computer in gevaar te brengen om een computer uit te voeren om na exploitatie-activiteit uit te voeren.
Badusb, voor het eerst gedemonstreerd meer dan tien jaar geleden door beveiligingsonderzoekers Karsten Nohl en Jakob Lell op de Black Hat Conference 2014, is een aanval die een inherente kwetsbaarheid in USB -firmware exploiteert, waardoor het in wezen herprogrammeert om commando’s uit te voeren of kwaadaardige programma’s te uitvoeren op de computer van de slachtoffer.
“In tegenstelling tot traditionele malware, die in het bestandssysteem woont en vaak kan worden gedetecteerd door antivirushulpmiddelen, woont Badusb in de firmwarelaag”, merkt Ivanti op in een uitleg van de dreiging die eind vorige maand werd gepubliceerd. “Eenmaal aangesloten op een computer, kan een BadUSB -apparaat: een toetsenbord emuleren om kwaadaardige opdrachten te typen, deuren of keyloggers te installeren, internetverkeer, (en) gevoelige gegevens te omzeilen.”
In de afgelopen jaren hebben Google-eigendom Mandiant en het US Federal Bureau of Investigation (FBI) gewaarschuwd dat de financieel gemotiveerde dreigingsgroep die als Fin7 is gevolgd, heeft toegevoegd tot het verzachten van de Amerikaanse organisaties “BadusB” kwaadaardige USB-apparaten om een malware te leveren genaamd Diceloader.
De nieuwste ontdekking van Ecypsium laat zien dat een op USB gebaseerde perifere, zoals webcams met Linux, die aanvankelijk niet als kwaadaardig bedoeld was, een vector kan zijn voor een BadusB-aanval, die een belangrijke escalatie markeert. In het bijzonder is gebleken dat dergelijke apparaten op afstand kunnen worden gekaapt en omgezet in BadusB -apparaten zonder ooit fysiek losgekoppeld of vervangen te zijn.
“Een aanvaller die externe code-uitvoering op een systeem verkrijgt, kan de firmware van een bijgevoegde Linux-aangedreven webcam weerspiegelen, het hergebruiken om zich te gedragen als een kwaadwillende verstop of om extra USB-apparaten na te streven,” legden de onderzoekers uit.
“Eenmaal bewapend, kan de schijnbaar onschadelijke webcam toetsaanslagen injecteren, kwaadaardige payloads leveren of dienen als voet aan de grond voor diepere persistentie, allemaal met behoud van de uiterlijk uiterlijk en de kernfunctionaliteit van een standaardcamera.”
Bovendien kunnen bedreigingsactoren met de mogelijkheid om de firmware van de webcam te wijzigen een groter niveau van persistentie bereiken, waardoor ze de slachtoffercomputer opnieuw kunnen infecteren met malware, zelfs nadat deze is afgeveegd en het besturingssysteem opnieuw is geïnstalleerd.
De kwetsbaarheden die zijn ontdekt in Lenovo 510 FHD en Lenovo Performance FHD-webcams hebben betrekking op hoe de apparaten geen firmware valideren, waardoor ze vatbaar zijn voor een compleet compromis van de camerasoftware via Badusb-stijl aanvallen, gezien het feit dat ze Linux runnen met USB-gadgetondersteuning.
Na verantwoorde openbaarmaking met Lenovo in april 2025, heeft de PC -fabrikant firmware -updates vrijgegeven (versie 4.8.0) om de kwetsbaarheden te verminderen en heeft het samengewerkt met het Chinese bedrijf Sigmastar om een tool uit te brengen die het probleem aansluit.
“Deze eerste aanval in zijn soort benadrukt een subtiele maar diep problematische vector: ondernemingen en consumentencomputers vertrouwen vaak op hun interne en externe randapparatuur, zelfs wanneer die randapparatuur in staat is hun eigen besturingssystemen te runnen en externe instructies te accepteren,” zei Eclypsium.
“In de context van Linux -webcams stelt niet -ondertekende of slecht beschermde firmware een aanvaller in staat om niet alleen de host te ondermijnen, maar ook als toekomstige hosts waarmee de camera verbinding maakt met de infectie en de traditionele bedieningselementen verspreiden.”
