Control de acceso inadecuado en Kalay P2P SDK de ThroughTek

Fecha de publicación:

18/08/2021

Importancia:

5 - Crítica

Recursos afectados:

Kalay P2P Software Development Kit (SDK):
- versiones 3.1.5 y anteriores;
- versiones del SDK con la etiqueta nossl;
- firmware del dispositivo que no utiliza AuthKey para la conexión IOTC;
- firmware del dispositivo que utiliza el módulo AVAPI sin habilitar DTLS;
- firmware de dispositivo que utiliza P2PTunnel o el módulo RDT.

Descripción:

Jake Valletta, Erik Barzdukas y Dillon Franke, de Mandiant, han reportado a CISA una vulnerabilidad de control de acceso inadecuado en productos de ThroughTek que podría permitir a un atacante acceder a información sensible o la ejecución remota de código.

Solución:

ThroughTek recomienda a los fabricantes que implementen las siguientes medidas de mitigación:

si el SDK es la versión 3.1.10 o superior, habilitar authkey y DTLS.
si el SDK es una versión anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.

Detalle:

El control de acceso inadecuado podría permitir a un atacante el acceso a información sensible, como la retrasmisión de las cámaras, o la ejecución remota de código. Se ha asignado el identificador CVE-2021-28372 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-21-229-01) ThroughTek Kalay P2P SDK

About ThroughTek’s Kalay Platform Security Mechanism

Threat Research Blog Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices

Etiquetas:

Actualización

Infraestructuras críticas

IoT

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en Kalay P2P SDK de ThroughTek

Ejecución de código en Digi ConnectPort X2D Gateway

Divulgación de información en OPC UA .NET Standard Reference Server

Múltiples vulnerabilidades en Bosch BF-OS

Múltiples vulnerabilidades en productos ABB

Vulnerabilidad de denegación de servicio en productos Rockwell Automation