Inicio / Alerta Temprana / Avisos Sci / Comunicaciones en texto claro en P2P SDK de ThroughTek

Comunicaciones en texto claro en P2P SDK de ThroughTek

Fecha de publicación: 
16/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 

P2P Software Development Kit (SDK), versión:

  • 3.1.5 y anteriores;
  • SDK con noss tag;
  • firmware que no usa AuthKey para conexiones IOTC;
  • firmware que usa el módulo AVAPI sin habilitar el mecanismo DTLS;
  • firmware que usa P2PTunnel o el módulo RDT.
Descripción: 

Nozomi Networks ha reportado al CISA una vulnerabilidad de severidad crítica, que podría permitir a un atacante remoto acceder a información confidencial.

Solución: 

El fabricante recomienda:

  • Si la versión de SDK es la 3.1.10 u otra superior, habilitar authkey y DTLS.
  • Si la versión de SDK es anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detalle: 

Una vulnerabilidad de comunicación en texto claro en los productos ThroughTek P2P afectados no protege lo suficiente la información transmitida entre el dispositivo local y los servidores ThroughTek, lo que podría permitir a un atacante remoto acceder a la información. Se ha asignado el identificador CVE-2021-32934 para esta vulnerabilidad.

Encuesta valoración