Comunicaciones en texto claro en P2P SDK de ThroughTek
Fecha de publicación 16/06/2021
Importancia
5 - Crítica
Recursos Afectados
P2P Software Development Kit (SDK), versión:
- 3.1.5 y anteriores;
- SDK con noss tag;
- firmware que no usa AuthKey para conexiones IOTC;
- firmware que usa el módulo AVAPI sin habilitar el mecanismo DTLS;
- firmware que usa P2PTunnel o el módulo RDT.
Descripción
Nozomi Networks ha reportado al CISA una vulnerabilidad de severidad crítica, que podría permitir a un atacante remoto acceder a información confidencial.
Solución
El fabricante recomienda:
- Si la versión de SDK es la 3.1.10 u otra superior, habilitar authkey y DTLS.
- Si la versión de SDK es anterior a la 3.1.10, actualizar la librería a la versión 3.3.1.0 o 3.4.2.0 y habilitar authkey/DTLS.
Detalle
Una vulnerabilidad de comunicación en texto claro en los productos ThroughTek P2P afectados no protege lo suficiente la información transmitida entre el dispositivo local y los servidores ThroughTek, lo que podría permitir a un atacante remoto acceder a la información. Se ha asignado el identificador CVE-2021-32934 para esta vulnerabilidad.
Listado de referencias
Etiquetas