Control de acceso inadecuado en Kalay P2P SDK de ThroughTek
Fecha de publicación
18/08/2021
Importancia
5 - Crítica
Recursos Afectados
- Kalay P2P Software Development Kit (SDK):
- versiones 3.1.5 y anteriores;
- versiones del SDK con la etiqueta nossl;
- firmware del dispositivo que no utiliza AuthKey para la conexión IOTC;
- firmware del dispositivo que utiliza el módulo AVAPI sin habilitar DTLS;
- firmware de dispositivo que utiliza P2PTunnel o el módulo RDT.
Descripción
Jake Valletta, Erik Barzdukas y Dillon Franke, de Mandiant, han reportado a CISA una vulnerabilidad de control de acceso inadecuado en productos de ThroughTek que podría permitir a un atacante acceder a información sensible o la ejecución remota de código.
Solución
ThroughTek recomienda a los fabricantes que implementen las siguientes medidas de mitigación:
- si el SDK es la versión 3.1.10 o superior, habilitar authkey y DTLS.
- si el SDK es una versión anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detalle
Listado de referencias
Etiquetas