Un bug in supply-chain, colpisce milioni di telecamere.

Gli esperti di sicurezza hanno segnalato una vulnerabilità critica della catena di approvvigionamento IoT che potrebbe interessare milioni di telecamere connesse a livello globale, consentendo agli aggressori di dirottare i flussi video.

Nozomi Networks ha rivelato il difetto di un popolare componente software di ThroughTek, che gli OEM utilizzano per produrre telecamere IP, telecamere per il monitoraggio di neonati e animali domestici e dispositivi robotici a batteria.

Il bug si trova in un SDK P2P prodotto dall’azienda. In questo caso, P2P si riferisce alla funzionalità che consente a un client su un’app mobile o desktop di accedere a flussi audio/video da una fotocamera o un dispositivo tramite Internet.

Nozomi Networks ha affermato che il protocollo utilizzato per la trasmissione dei flussi

“manca di uno scambio di chiavi sicuro e si basa invece su uno schema di offuscamento basato su una chiave fissa”.

Ciò significa che gli aggressori non autorizzati potrebbero accedervi per ricostruire il flusso audio/video, consentendo loro di curiosare sugli utenti da remoto.

La CISA ha rilasciato ieri il proprio avviso di sicurezza per l’SDK P2P ThroughTek, assegnandogli un punteggio CVSS con una Severity di 9,1. L ‘avviso interessa: versioni 3.1.5 e precedenti; Versioni SDK con tag nossl; e il firmware del dispositivo che non utilizza AuthKey per la connessione IOTC, utilizza il modulo AVAPI senza abilitare DTLS o utilizza il modulo P2PTunnel o RDT.

ThroughTek ha dato la colpa agli sviluppatori che hanno implementato in modo errato l’SDK o non sono riusciti ad aggiornarlo, affermando che la versione 3.3 è stata introdotta a metà del 2020 per correggere questa vulnerabilità.

Ha anche rivelato che il bug potrebbe portare a intercettazioni non autorizzate su video e audio della fotocamera e spoofing del dispositivo e dirottamento del certificato.

Il caso evidenzia le sfide che devono essere affrontate sugli IoT e altri dispositivi, che hanno catene di approvvigionamento complesse, oltre ad utilizzare componenti di terze parti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks