Control de acceso inadecuado en Kalay P2P SDK de ThroughTek
Fecha de publicación:
18/08/2021
Importancia:
5 -
Crítica
Recursos afectados:
- Kalay P2P Software Development Kit (SDK):
- versiones 3.1.5 y anteriores;
- versiones del SDK con la etiqueta nossl;
- firmware del dispositivo que no utiliza AuthKey para la conexión IOTC;
- firmware del dispositivo que utiliza el módulo AVAPI sin habilitar DTLS;
- firmware de dispositivo que utiliza P2PTunnel o el módulo RDT.
Descripción:
Jake Valletta, Erik Barzdukas y Dillon Franke, de Mandiant, han reportado a CISA una vulnerabilidad de control de acceso inadecuado en productos de ThroughTek que podría permitir a un atacante acceder a información sensible o la ejecución remota de código.
Solución:
ThroughTek recomienda a los fabricantes que implementen las siguientes medidas de mitigación:
- si el SDK es la versión 3.1.10 o superior, habilitar authkey y DTLS.
- si el SDK es una versión anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detalle:
Referencias: