83 milhões de dispositivos expostos na plataforma Kalay

Views: 339
0 0
Read Time:2 Minute, 0 Second

Pesquisadores da FireEye Mandiant descobriram uma vulnerabilidade crítica na plataforma de nuvem Kalay

Pesquisadores da divisão Mandiant, da FireEye, descobriram uma vulnerabilidade crítica, rastreada como CVE-2021-28372, em um componente central da plataforma de nuvem Kalay que é usada por milhões de dispositivos IoT de muitos fornecedores. O risco lecou a agência de segurança cibernética dos EUA, a CISA, a lançar um alerta sobre o assunto.

A falha pode ser facilmente explorada por um invasor remoto para assumir o controle de um dispositivo IoT, a única informação necessária para o ataque é o identificador exclusivo Kalay (UID) do usuário-alvo. O identificador pode ser obtido por meio de engenharia social.

As vulnerabilidades descritas neste post afetam um componente central da plataforma Kalay. A Mandiant não foi capaz de criar uma lista abrangente de dispositivos afetados; no entanto, o site da ThroughTek informa mais de 83 milhões de dispositivos ativos na plataforma Kalay no momento em que escrevo esta postagem. ” afirma o relatório publicado pela Mandiant. “Um invasor exigiria conhecimento abrangente do protocolo Kalay e a capacidade de gerar e enviar mensagens. O invasor também precisaria obter UIDs Kalay por meio de engenharia social ou outras vulnerabilidades em APIs ou serviços que retornam UIDs Kalay. A partir daí, um invasor seria capaz de comprometer remotamente os dispositivos afetados que correspondem aos UIDs obtidos. ”https://www.youtube.com/embed/PBiW-rg8-LE?feature=oembed&enablejsapi=1&origin=https://www.cisoadvisor.com.brVídeo da prova-de-conceito publicado pela Mandiant

Um invasor que obteve o UID de um dispositivo de destino pode enviar uma solicitação especialmente criada à rede Kalay para registrar outro dispositivo com o mesmo UID na rede. Em seguida, os servidores Kalay sobrescreverão o dispositivo existente. Assim que a vítima conectar o dispositivo, sua conexão será direcionada ao invasor que pode obter as credenciais usadas pela vítima para acessar o dispositivo.

A maioria dos dispositivos que usam a plataforma são produtos de vigilância por vídeo, como câmeras IP e monitores de bebê, um invasor pode explorar essa falha para espionar dados de áudio e vídeo.

O invasor também pode usar a funcionalidade RPC (chamada de procedimento remoto) para assumir completamente o controle do dispositivo. A ThroughTek, a empresa que desenvolveu a plataforma IoT em nuvem, lançou atualizações do SDK para corrigir a falha. A empresa recomenda que seus clientes habilitem AuthKey e DTLS.

FONTE: CISO ADVISOR

POSTS RELACIONADOS