Home / Node / Control de acceso inadecuado en Kalay P2P SDK de ThroughTek

Control de acceso inadecuado en Kalay P2P SDK de ThroughTek

Publication date: 
08/18/2021
Importance: 
5 - Crítica
Affected resources: 
  • Kalay P2P Software Development Kit (SDK):
    • versiones 3.1.5 y anteriores;
    • versiones del SDK con la etiqueta nossl;
    • firmware del dispositivo que no utiliza AuthKey para la conexión IOTC;
    • firmware del dispositivo que utiliza el módulo AVAPI sin habilitar DTLS;
    • firmware de dispositivo que utiliza P2PTunnel o el módulo RDT.
Description: 

Jake Valletta, Erik Barzdukas y Dillon Franke, de Mandiant, han reportado a CISA una vulnerabilidad de control de acceso inadecuado en productos de ThroughTek que podría permitir a un atacante acceder a información sensible o la ejecución remota de código.

Solution: 

ThroughTek recomienda a los fabricantes que implementen las siguientes medidas de mitigación:

  • si el SDK es la versión 3.1.10 o superior, habilitar authkey y DTLS.
  • si el SDK es una versión anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detail: 

El control de acceso inadecuado podría permitir a un atacante el acceso a información sensible, como la retrasmisión de las cámaras, o la ejecución remota de código. Se ha asignado el identificador CVE-2021-28372 para esta vulnerabilidad.

Encuesta valoración