18 jun. 2021

Fallas críticas en dispositivos ThroughTek afectas a millones de cámaras

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió el martes un aviso sobre una falla crítica en la cadena de suministro de software que afecta el kit de desarrollo de software (SDK) de ThroughTek.

Un atacante podría utilizar el error para obtener acceso inadecuado a las transmisiones de audio y video y podría permitir el acceso no autorizado a información sensible de la cámara.

El SDK punto a punto (P2P) de ThroughTek es ampliamente utilizado por dispositivos de IoT con videovigilancia o capacidad de transmisión de audio/video, como cámaras IP, cámaras de monitoreo de bebés y mascotas, electrodomésticos inteligentes y sensores para brindar acceso remoto al contenido multimedia. a través de Internet.

Registrada como CVE-2021-32934 (puntuación CVSS: 9.1), la deficiencia afecta a los productos ThroughTek P2P, versiones 3.1.5 y anteriores, así como a las versiones SDK con etiqueta nossl, y se debe a una falta de protección suficiente al transferir datos entre los dispositivo y los servidores de ThroughTek.

Nozomi Networks informó de la falla en marzo de 2021, que señaló que el uso de cámaras de seguridad vulnerables podría poner en riesgo a los operadores de infraestructura crítica al exponer información confidencial de negocios, producción y empleados. "El protocolo [P2P] utilizado por ThroughTek carece de un intercambio de claves seguro [y] se basa en cambio en un esquema de ofuscación basado en una clave fija", dijo la firma de seguridad IoT con sede en San Francisco. Dado que este tráfico atraviesa Internet, un atacante que pueda acceder a él puede reconstruir el flujo de audio / video".

Para demostrar la vulnerabilidad, los investigadores crearon un exploit de prueba de concepto (PoC) que desofusca paquetes sobre la marcha del tráfico de la red.

ThroughTek recomienda a los fabricantes de equipos originales (OEM) que utilicen SDK 3.1.10 y superior para habilitar AuthKey y DTLS, y aquellos que confían en una versión de SDK anterior a 3.1.10 para actualizar la biblioteca a la versión 3.3.1.0 o v3.4.2.0 y habilitar AuthKey / DTLS.

Dado que la falla afecta a un componente de software que es parte de la cadena de suministro para muchos OEM de cámaras de seguridad y dispositivos de IoT para consumidores, las consecuencias de tal explotación podrían violar efectivamente la seguridad de los dispositivos, permitiendo al atacante acceder y ver audio confidencial. o transmisiones de video.

"Debido a que la biblioteca P2P de ThroughTek ha sido integrada por múltiples proveedores en muchos dispositivos diferentes a lo largo de los años, es prácticamente imposible que un tercero rastree los productos afectados", dijeron los investigadores.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!