Logo Computerworld University

El lenguaje de la tecnología

Escudo Computerworld University

Bitdefender identifica nuevas vulnerabilidades IoT que afectan a más de cien millones de dispositivos

Bitdefender acaba de publicar una nueva investigación que ha identificado diferentes vulnerabilidades en ThroughTek Kaylay

ciberseguridad
Créditos: Mika Baumeister (Unsplash).

Se estima que, al menos, hay cien millones de dispositivos afectados, especialmente cámaras de vigilancia y otros dispositivos de seguridad.

Los investigadores de Bitdefender han podido utilizar las vulnerabilidades identificadas en TUTK para comprometer dispositivos de tres marcas: Roku, Wyze y Owlet, aunque consideran que hay muchos más proveedores afectados.

Según Bitdefender, todas las vulnerabilidades identificadas son críticas, y cuando se conectan en cadena permiten comprometer completamente el dispositivo para controlar, espiar o distribuir malware. Aunque en un primer momento el atacante debe estar conectado a la red local, una vez conseguido el control puede operar de forma remota a través de la nube.

Aunque Bitdefender ya ha contactado con TUTK para darle la oportunidad de solucionar o mejorar estas vulnerabilidades, la compañía insta a los usuarios de Roku Indoor Camera SE; monitor para bebés con vídeo HD inteligente de próxima generación Owlet Cam (versiones 1 y 2) y Wyze Cam v3 a que se aseguren de que están ejecutando la última actualización.

Entre las vulnerabilidades identificadas, destacan las siguientes: 

  • CVE-2023-6321: Permite que un usuario autenticado ejecute comandos del sistema con privilegios de administrador, lo que pone en riesgo total el dispositivo.
  • CVE-2023-6322: Permite a los atacantes obtener acceso a la raíz del sistema a través de una vulnerabilidad de desbordamiento del búfer basado en pila en el controlador de un mensaje IOCTL.
  • CVE-2023-6323: Expone un vacío legal por el que un atacante local puede obtener ilícitamente la clave de autenticación, lo que le ayuda a establecer una conexión preliminar con el dispositivo víctima.
  • CVE-2023-6324: Explota una vulnerabilidad que permite a los atacantes inferir la clave previamente compartida para una sesión DTLS, un requisito previo crítico para conectarse y hablar con los dispositivos víctimas.

Bitdefender advierte que los ataques a los dispositivos IoT se están intensificando, ya que la mayor parte de las redes domésticas inteligentes están también conectadas a redes corporativas, lo que las hace muy atractivas para los ciberdelincuentes. Bitdefender recuerda la necesidad de proteger convenientemente los routers domésticos para evitar ataques que pueden comprometer la seguridad y la privacidad de las personas.



Últimas Noticias



Registro:

Eventos: