La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió el martes un aviso sobre una falla crítica en la cadena de suministro de software que afecta el kit de desarrollo de software (SDK) de ThroughTek.

Un atacante podría utilizar el error para obtener acceso inadecuado a las transmisiones de audio y video y podría permitir el acceso no autorizado a información sensible de la cámara.

El SDK punto a punto (P2P) de ThroughTek es ampliamente utilizado por dispositivos de IoT con videovigilancia o capacidad de transmisión de audio/video, como cámaras IP, cámaras de monitoreo de bebés y mascotas, electrodomésticos inteligentes y sensores para brindar acceso remoto al contenido multimedia. a través de Internet.

Registrada como CVE-2021-32934 (puntuación CVSS: 9.1), la deficiencia afecta a los productos ThroughTek P2P, versiones 3.1.5 y anteriores, así como a las versiones SDK con etiqueta nossl, y se debe a una falta de protección suficiente al transferir datos entre los dispositivo y los servidores de ThroughTek.

Nozomi Networks informó de la falla en marzo de 2021, que señaló que el uso de cámaras de seguridad vulnerables podría poner en riesgo a los operadores de infraestructura crítica al exponer información confidencial de negocios, producción y empleados. "El protocolo [P2P] utilizado por ThroughTek carece de un intercambio de claves seguro [y] se basa en cambio en un esquema de ofuscación basado en una clave fija", dijo la firma de seguridad IoT con sede en San Francisco. Dado que este tráfico atraviesa Internet, un atacante que pueda acceder a él puede reconstruir el flujo de audio / video".

Para demostrar la vulnerabilidad, los investigadores crearon un exploit de prueba de concepto (PoC) que desofusca paquetes sobre la marcha del tráfico de la red.