Un nuevo aviso de CISA advierte sobre una vulnerabilidad crítica de la cadena de suministro de software que afecta al SDK de ThroughTek (Kit de desarrollo de software). La falla, identificado como CVE-2021-32934 podría abusarse para obtener acceso inadecuado a las transmisiones de audio y video. Otros escenarios de compromiso incluyen la suplantación de dispositivos vulnerables y el secuestro de sus certificados..
Vulnerabilidad crítica ThroughTek CVE-2021-32934
“ThroughTek suministra a varios fabricantes de equipos originales de cámaras IP con conexiones P2P como parte de su plataforma en la nube. La explotación exitosa de esta vulnerabilidad podría permitir el acceso no autorizado a información confidencial., como las transmisiones de audio / video de la cámara," El aviso de CISA dice.
El problema se debe al hecho de que los productos P2P de ThroughTek no protegen los datos transferidos entre el dispositivo local y los servidores de la empresa.. La falta de protección podría permitir a los piratas informáticos acceder a información confidencial, incluidas las transmisiones de la cámara. Debido al inmenso riesgo derivado de la falla, ha sido calificado con una puntuación CVSS de 9.1, o critico.
La versión y el firmware del SDK afectados incluyen todas las versiones siguientes 3.1.10; Versiones del SDK con etiqueta nossl; firmware del dispositivo que no usa AuthKey para la conexión IOTC; firmware que utiliza el módulo AVAPI sin habilitar el mecanismo DTLS, y firmware usando P2PTunnel o módulo RTD.
Cabe destacar que la explotación exitosa de la vulnerabilidad CVE-2021-32934 requiere un conocimiento sofisticado de la seguridad de la red., herramientas de rastreo de red, y algoritmos de cifrado.
Mitigaciones contra CVE-2021-32934
ThroughTek ha recomendado dos métodos de mitigación. Los fabricantes de equipos originales deben implementar las siguientes mitigaciones:
- Si SDK es la versión 3.1.10 y por encima, habilitar authkey y DTLS.
- Si SDK es una versión anterior a 3.1.10, actualizar la biblioteca a v3.3.1.0 o v3.4.2.0 y habilitar authkey / DTLS.
"Esta vulnerabilidad se ha solucionado en la versión SDK 3.3 y en adelante, que fue lanzado a mediados de 2020. Le sugerimos ENCARECIDAMENTE que revise la versión del SDK aplicada en su producto y siga las instrucciones a continuación para evitar cualquier problema potencial,"El propio aviso de ThroughTek dice.
La compañía también alienta a sus clientes a continuar monitoreando las futuras versiones del SDK en respuesta a las nuevas amenazas de seguridad..
El año pasado, millones de cámaras CCTV y otros dispositivos IoT se descubrió que eran vulnerables a ataques de piratería mediante varios errores de seguridad, incluido el rastreado en el aviso CVE-2019-11219. La gran mayoría de estos dispositivos están controlados por la aplicación CamHi., y se utilizan de forma abrumadora en Europa y el Reino Unido.