Image
(F)CVE-2024-00001 – Físico. Nuevo bypass híbrido de candados

(F)CVE-2024-00001 – Físico. Nuevo bypass híbrido de candados

¡Hola lectores!

En este artículo exploraremos el concepto de "bypass" en la seguridad, tanto en el ámbito informático como en el físico. Analizaremos cómo los atacantes pueden evadir medidas de protección en sistemas digitales, como los paneles de administración web, y en sistemas mecánicos, como los candados.

El término bypass, al igual que en seguridad informática, se refiere a cuando un atacante logra su objetivo, eludiendo unas medidas de seguridad específicas que pretendían evitar ese uso indebido o no autorizado. Veamos un ejemplo aplicado de un bypass informático”:

  • Un panel de administración web, para crear artículos y modificar la apariencia de la web, está restringido a usuarios autorizados. Para evitar el acceso de terceros al panel, se han desarrollado mecanismos como el login web, donde los usuarios introducen unas credenciales para logearse en el panel de administración. Si un atacante logra explotar una vulnerabilidad en dicha web que le permita acceder al panel de administración sin introducir estas credenciales (por ejemplo, con un robo de cookies, un fallo de autorización o una ejecución remota de código en el servidor web), habría logrado bypassear el login y evadir ese mecanismo de seguridad.

Este término de bypass también se puede aplicar en cerraduras, candados y sistemas de bloqueo mecánicos que pretenden proteger un activo (el símil en el ejemplo informático anterior sería el panel de administración web). Cuando estas cerraduras tienen un bombín, chapas, gorjas, pletinas o discos de combinación numérica, que deben colocarse en una posición específica con una llave (símil a las credenciales en el ejemplo informático anterior), se está restringiendo el desbloqueo de la cerradura a una persona no autorizada que no tenga esa llave.

Estos sistemas mecánicos también sufren de vulnerabilidades y fallos de diseño que pueden ser explotados por un atacante para bypassear el sistema de desbloqueo mediante llave, sin tenerla.

En este artículo voy a presentar como funciona un novedoso bypass que descubrí hace unas semanas, que abre aproximadamente el 20% de los candados más comunes en segundos, pero para comprenderlo, necesitamos analizar el funcionamiento de dos métodos de bypass de candados, conocidos desde hace años y excelentemente documentados, por ello, los fabricantes ya han puesto medidas de seguridad para evitarlos y tienen poco índice de éxito en candados modernos.

Metal shims

Este método de bypass se utiliza en candados, para liberar el arco sin necesidad de accionar el rotor ni introducir la llave.

Generalmente, el arco de los candados está cargado a muelle, que se dispara cuando se acciona el rotor con la llave. Para evitar que el arco se dispare, unas piezas metálicas, semejantes al resbalón de una puerta, se enganchan en el arco.

El bypass consiste en insertar unas láminas metálicas dentro del cuerpo del candado para mover los resbalones y liberar el arco.

Imagen de metal shims:

Aquí podemos ver una imagen del arco siendo bloqueado por el resbalón derecho:

Y aquí una imagen del resbalón derecho siendo desplazado por la lámina metálica:

Si el candado solo tuviese un resbalón o se lograse insertar una lámina en ambos resbalones, el arco se disparará realizando la apertura.

En el siguiente vídeo se encuentra la explicación completa:

https://www.youtube.com/watch?v=_bPaKa2bCUk&t=348s

Knife bypass tool

El knife bypass es una herramienta que nos permite accionar un resbalón de los candados a través del bocallave del rotor, siempre y cuando no estén blindados y permitan la inserción de la herramienta desde el exterior del candado hasta el mecanismo.

Imagen del knife bypass tool:

En las siguientes imágenes se muestra como se ve el interior de candados sin blindar vulnerables al knife bypass tool. En ocasiones se puede ver el muelle que empuja el resbalón contra el arco y en otras ocasiones se pueden ver otras piezas que conforman el mecanismo.

Imagen del muelle del resbalón accesible desde el bocallave:

Imagen del mecanismo de cierre visible desde el bocallave:

Una vez identificado un candado con el rotor sin blindar, podemos insertar el knife bypass tool hasta colocar la punta de la herramienta en el mecanismo y poder hacer palanca para desplazar el resbalón y liberar el arco.

En la siguiente imagen se ve como el knife bypass tool acciona el resbalón, liberando el lado izquierdo del arco.

Explicación completa en el siguiente vídeo:

https://youtu.be/_bPaKa2bCUk?feature=shared&t=202

Al igual que con el metal shim, si el candado solo estuviera bloqueado con un resbalón, obtendríamos la apertura.

Problemas de los métodos de bypass comunes

Estos métodos de bypass son muy extendidos y los fabricantes han puesto muchos recursos en desarrollar sistemas de defensa frente a estas técnicas. El método de defensa más común es el doble cierre, que consiste en tener dos resbalones bloqueando el arco de un candado, por lo que el knife bypass no funcionará y para que los metal shims funcionen, deberemos introducir una lámina en cada brazo del arco y en candados modernos no suele haber espacio suficiente como para introducir dos láminas, por lo que estos dos métodos por separado no son funcionales en la gran mayoría de los candados y aquí nos llega la hora de hackear.

Bypass híbrido metal shim + knife bypass tool

El método propuesto es muy simple y lógico, una vez conocemos cómo funcionan los métodos por separado.

Una vez identifiquemos una cerradura que no tenga el rotor blindado (el muelle o el mecanismo de cierre se ve desde el bocallave) y un metal shim nos cabe en un lado del arco, procedemos a introducir el metal shim, liberando un resbalón y sin retirarlo, accionamos el otro resbalón con el knife bypass tool y BOOM, obtenemos la apertura.

Primer paso, introducir metal shim y liberar un lado:

Segundo paso, accionar el otro resbalón con el knife bypass tool:

Podréis disfrutar de PoC’s en múltiples candados de marca en el siguiente vídeo:

https://www.youtube.com/watch?v=_bPaKa2bCUk

Espero que os haya gustado el artículo sobre hacking mecánico. Para más técnicas e información sobre aperturas, visitad mi canal de YouTube https://www.youtube.com/@redcellshacking

¡Un abrazo y happy picking!


Pablo Martínez, Pentester de Innotec Security, Part of Accenture