Control de acceso inadecuado en Kalay P2P SDK de ThroughTek

Fecha de publicación 18/08/2021
Importancia
5 - Crítica
Recursos Afectados
  • Kalay P2P Software Development Kit (SDK):
    • versiones 3.1.5 y anteriores;
    • versiones del SDK con la etiqueta nossl;
    • firmware del dispositivo que no utiliza AuthKey para la conexión IOTC;
    • firmware del dispositivo que utiliza el módulo AVAPI sin habilitar DTLS;
    • firmware de dispositivo que utiliza P2PTunnel o el módulo RDT.
Descripción

Jake Valletta, Erik Barzdukas y Dillon Franke, de Mandiant, han reportado a CISA una vulnerabilidad de control de acceso inadecuado en productos de ThroughTek que podría permitir a un atacante acceder a información sensible o la ejecución remota de código.

Solución

ThroughTek recomienda a los fabricantes que implementen las siguientes medidas de mitigación:

  • si el SDK es la versión 3.1.10 o superior, habilitar authkey y DTLS.
  • si el SDK es una versión anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detalle

El control de acceso inadecuado podría permitir a un atacante el acceso a información sensible, como la retrasmisión de las cámaras, o la ejecución remota de código. Se ha asignado el identificador CVE-2021-28372 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-229-01) ThroughTek Kalay P2P SDK
About ThroughTek’s Kalay Platform Security Mechanism
Threat Research Blog Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices
Etiquetas