iot-3404892_1280-1.jpg

83 milhões de dispositivos expostos na plataforma Kalay

Pesquisadores da divisão Mandiant, da FireEye, descobriram uma vulnerabilidade crítica, rastreada como CVE-2021-28372, em um componente central da plataforma de nuvem Kalay que é usada por milhões de dispositivos IoT de muitos fornecedores. O risco lecou a agência de segurança cibernética dos EUA, a CISA, a lançar um alerta sobre o assunto.

A falha pode ser facilmente explorada por um invasor remoto para assumir o controle de um dispositivo IoT, a única informação necessária para o ataque é o identificador exclusivo Kalay (UID) do usuário-alvo. O identificador pode ser obtido por meio de engenharia social.

Veja isso
Gigante da indústria de IoT interrompe produção após ataque de ransomware
Atlassian alerta para falhas críticas no Jira

As vulnerabilidades descritas neste post afetam um componente central da plataforma Kalay. A Mandiant não foi capaz de criar uma lista abrangente de dispositivos afetados; no entanto, o site da ThroughTek informa mais de 83 milhões de dispositivos ativos na plataforma Kalay no momento em que escrevo esta postagem. ” afirma o relatório publicado pela Mandiant. “Um invasor exigiria conhecimento abrangente do protocolo Kalay e a capacidade de gerar e enviar mensagens. O invasor também precisaria obter UIDs Kalay por meio de engenharia social ou outras vulnerabilidades em APIs ou serviços que retornam UIDs Kalay. A partir daí, um invasor seria capaz de comprometer remotamente os dispositivos afetados que correspondem aos UIDs obtidos. ”

Vídeo da prova-de-conceito publicado pela Mandiant

Um invasor que obteve o UID de um dispositivo de destino pode enviar uma solicitação especialmente criada à rede Kalay para registrar outro dispositivo com o mesmo UID na rede. Em seguida, os servidores Kalay sobrescreverão o dispositivo existente. Assim que a vítima conectar o dispositivo, sua conexão será direcionada ao invasor que pode obter as credenciais usadas pela vítima para acessar o dispositivo.

A maioria dos dispositivos que usam a plataforma são produtos de vigilância por vídeo, como câmeras IP e monitores de bebê, um invasor pode explorar essa falha para espionar dados de áudio e vídeo.

O invasor também pode usar a funcionalidade RPC (chamada de procedimento remoto) para assumir completamente o controle do dispositivo. A ThroughTek, a empresa que desenvolveu a plataforma IoT em nuvem, lançou atualizações do SDK para corrigir a falha. A empresa recomenda que seus clientes habilitem AuthKey e DTLS.

Com agências de notícias internacionais