CISA emite un aviso detallado en su página web sobre las vulnerabilidades que afectan a ciertas versiones del software de Dominion Voting Systems.
Resumen completo:
Este aviso identifica vulnerabilidades que afectan a las versiones de Dominion Voting Systems Democracy Suite ImageCast X, que es un sistema de votación en persona que se utiliza para permitir que los votantes marquen su boleta. El ImageCast X se puede configurar para permitir que un votante produzca un registro en papel o para registrar los votos electrónicamente. Si bien estas vulnerabilidades presentan riesgos que deben mitigarse lo antes posible, CISA no tiene evidencia de que estas vulnerabilidades hayan sido explotadas en ninguna elección.
La explotación de estas vulnerabilidades requeriría acceso físico a dispositivos ImageCast X individuales, acceso al Sistema de gestión de elecciones (EMS) o la capacidad de modificar archivos antes de que se carguen en dispositivos ImageCast X. Las jurisdicciones pueden prevenir y/o detectar la explotación de estas vulnerabilidades mediante la aplicación diligente de las mitigaciones recomendadas en este aviso, incluidos los controles técnicos, físicos y operativos que limitan el acceso no autorizado o la manipulación de los sistemas de votación. Muchas de estas mitigaciones ya son una práctica habitual en las jurisdicciones donde se utilizan estos dispositivos y pueden mejorarse para protegerse aún más contra la explotación de estas vulnerabilidades.
2. DETALLES TÉCNICOS
2.1 PRODUCTOS AFECTADOS
Se sabe que las siguientes versiones del software ImageCast X de Dominion Voting Systems están afectadas (no se pudieron probar otras versiones):
- Firmware ImageCast X basado en Android 5.1, como se usa en Dominion Democracy Suite Voting System Versión 5.5-A
- Aplicación ImageCast X Versiones 5.5.10.30 y 5.5.10.32, como se usa en Dominion Democracy Suite Voting System Versión 5.5-A
- NOTA: Después de seguir el procedimiento del proveedor para actualizar ImageCast X de la versión 5.5.10.30 a 5.5.10.32, o después de realizar otras acciones administrativas de Android, ImageCast X puede quedar en una configuración que podría permitir a un atacante que puede conectar una entrada externa dispositivo para escalar privilegios y/o instalar código malicioso. Las instrucciones para verificar y mitigar esta condición están disponibles en Dominion Voting Systems.
Se recomienda a cualquier jurisdicción que ejecute ImageCast X que se comunique con Dominion Voting Systems para comprender el estado de vulnerabilidad de su implementación específica.
2.2 VISIÓN GENERAL DE LA VULNERABILIDAD
NOTA: Las mitigaciones para reducir el riesgo de explotación de estas vulnerabilidades se pueden encontrar en la Sección 3 de este documento.
2.2.1 VERIFICACIÓN INCORRECTA DE FIRMA CRIPTOGRÁFICA CWE-347
La versión probada de ImageCast X no valida las firmas de las aplicaciones en un certificado raíz de confianza. El uso de un certificado raíz de confianza garantiza que el software instalado en un dispositivo se pueda rastrear o verificar con una clave criptográfica proporcionada por el fabricante para detectar la manipulación. Un atacante podría aprovechar esta vulnerabilidad para instalar un código malicioso, que también podría propagarse a otros dispositivos ImageCast X vulnerables a través de medios extraíbles.
Se ha asignado CVE-2022-1739 a esta vulnerabilidad.
2.2.2 CERTIFICACIÓN MUTABLE O DATOS DE INFORMES DE MEDICIÓN CWE-1283
La versión probada de la función de visualización de hash de aplicaciones en pantalla de ImageCast X, la exportación de registros de auditoría y la funcionalidad de exportación de aplicaciones se basan en mecanismos de autocertificación. Un atacante podría aprovechar esta vulnerabilidad para disfrazar aplicaciones maliciosas en un dispositivo.
CVE-2022-1740 ha sido asignado a esta vulnerabilidad.
2.2.3 FUNCIONALIDAD OCULTA CWE-912
La versión probada de ImageCast X tiene una aplicación de emulador de terminal que un atacante podría aprovechar para obtener privilegios elevados en un dispositivo y/o instalar código malicioso.
Se ha asignado CVE-2022-1741 a esta vulnerabilidad.
2.2.4 PROTECCIÓN INADECUADA DEL CAMINO ALTERNO CWE-424
La versión probada de ImageCast X permite reiniciar en modo seguro de Android, lo que permite que un atacante acceda directamente al sistema operativo. Un atacante podría aprovechar esta vulnerabilidad para aumentar los privilegios en un dispositivo y/o instalar un código malicioso.
CVE-2022-1742 ha sido asignado a esta vulnerabilidad.
2.2.5 RECORRIDO DE RUTA: ‘../FILEDIR’ CWE-24
La versión probada de ImageCast X se puede manipular para provocar la ejecución de código arbitrario mediante archivos de definición de elección especialmente diseñados. Un atacante podría aprovechar esta vulnerabilidad para propagar código malicioso a los dispositivos ImageCast X desde el EMS.
CVE-2022-1743 ha sido asignado a esta vulnerabilidad.
2.2.6 EJECUCIÓN CON PRIVILEGIOS INNECESARIOS CWE-250
Las aplicaciones en la versión probada de ImageCast X pueden ejecutar código con privilegios elevados mediante la explotación de un servicio a nivel del sistema. Un atacante podría aprovechar esta vulnerabilidad para aumentar los privilegios en un dispositivo y/o instalar un código malicioso.
CVE-2022-1744 ha sido asignado a esta vulnerabilidad.
2.2.7 BYPASS DE AUTENTICACIÓN POR SPOOFING CWE-290
El mecanismo de autenticación utilizado por los técnicos en la versión probada de ImageCast X es susceptible de falsificación. Un atacante con acceso físico puede usar esto para obtener privilegios administrativos en un dispositivo e instalar código malicioso o realizar acciones administrativas arbitrarias.
CVE-2022-1745 ha sido asignado a esta vulnerabilidad.
2.2.8 ASIGNACIÓN INCORRECTA DE PRIVILEGIOS CWE-266
El mecanismo de autenticación utilizado por los trabajadores electorales para administrar la votación mediante la versión probada de ImageCast X puede exponer los secretos criptográficos utilizados para proteger la información electoral. Un atacante podría aprovechar esta vulnerabilidad para obtener acceso a información confidencial y realizar acciones privilegiadas, lo que podría afectar a otros equipos electorales.
CVE-2022-1746 ha sido asignado a esta vulnerabilidad.
2.2.9 ERROR DE VALIDACIÓN DE ORIGEN CWE-346
El mecanismo de autenticación utilizado por los votantes para activar una sesión de votación en la versión probada de ImageCast X es susceptible de falsificación. Un atacante podría aprovechar esta vulnerabilidad para imprimir una cantidad arbitraria de boletas sin autorización.
Se ha asignado CVE-2022-1747 a esta vulnerabilidad.
2.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA Instalaciones gubernamentales / Infraestructura electoral
- PAÍSES/ÁREAS IMPLEMENTADAS: Múltiples
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Denver, Colorado
2.4 INVESTIGADOR
J. Alex Halderman, Universidad de Michigan, y Drew Springall, Universidad de Auburn, informaron estas vulnerabilidades a CISA.
3. MITIGACIONES
CISA recomienda que los funcionarios electorales continúen tomando y mejorando aún más las medidas defensivas para reducir el riesgo de explotación de estas vulnerabilidades. Específicamente, para cada elección, los funcionarios electorales deben:
- Comuníquese con Dominion Voting Systems para determinar qué actualizaciones de software y/o firmware deben aplicarse. Dominion Voting Systems informa a CISA que las vulnerabilidades anteriores se han solucionado en versiones de software posteriores.
- Asegúrese de que todos los dispositivos afectados estén físicamente protegidos antes, durante y después de la votación.
- Garantizar el cumplimiento de los procedimientos de cadena de custodia durante todo el ciclo electoral.
- Asegúrese de que ImageCast X y el Sistema de gestión electoral (EMS) no estén conectados a ninguna red externa (es decir, accesible por Internet).
- Asegúrese de que se implementen medidas de seguridad física de detección y protección cuidadosamente seleccionadas (por ejemplo, candados y sellos de seguridad) en todos los dispositivos afectados, incluidos los dispositivos conectados, como impresoras y cables de conexión.
- Cierre cualquier ventana de aplicación en segundo plano en cada dispositivo ImageCast X.
- Utilice medios de solo lectura para actualizar software o instalar archivos en dispositivos ImageCast X.
- Use códigos de acceso únicos e independientes para cada tarjeta de trabajador electoral.
- Asegúrese de que todos los dispositivos ImageCast X estén sujetos a pruebas rigurosas antes y después de las elecciones.
- Deshabilite la función «Unificar claves de seguridad del tabulador» en el sistema de gestión de elecciones y asegúrese de que se utilicen nuevas claves criptográficas para cada elección.
- Según lo recomendado por Dominion Voting Systems, use el método complementario para validar hashes en aplicaciones, exportaciones de registros de auditoría y exportaciones de aplicaciones.
- Anime a los votantes a verificar los votos legibles por humanos en la impresión.
- Llevar a cabo auditorías de tabulación postelectorales rigurosas de las partes legibles por humanos de las boletas físicas y los registros en papel, para incluir la revisión de la cadena de custodia de las boletas y la realización de procedimientos de conciliación de boletas/votantes. Estas actividades son especialmente cruciales para detectar ataques en los que se explotan las vulnerabilidades enumeradas de manera que se manipula un código de barras para tabularlo de manera inconsistente con la parte legible por humanos de la boleta de papel. ( NOTA: si los estados y las jurisdicciones así lo eligen, ImageCast X ofrece la opción de configuración para producir boletas que no impriman códigos de barras para la tabulación).