Fallos de seguridad afectan al Wi-Fi de Routers y dispositivos de domótica

Cada vez más personas incorporan a las redes domésticas dispositivos inteligentes como bombillas, altavoces, enchufes… lo que se conoce como el Internet de las Cosas, IoT en sus siglas en inglés. En estos últimos días hemos conocido que Realtek, fabricante de chips para estos dispositivos, ha alertado de diferentes vulnerabilidades.

Se trata, desgraciadamente, de 4 vulnerabilidades calificadas como críticas. Dos de ellas (CVE-2021-35392 y CVE-2021-35393) implican al servidor de configuración del Wi-Fi, mediante la sobrecarga de distintos búferes tras un intercambio inseguro de mensajes SSDP NOTIFY y cabeceras UPnP SUBSCRIBE/UNSUBSCRIBE, respectivamente.

Con más criticidad se han valorado las vulnerabilidades CVE-2021-35394 y CVE-2021-35395, que reportan vulnerabilidades en el búfer y una ejecución de código arbitraria en la herramienta «UDPServer MP Tool» en el primer caso y múltiples vulnerabilidades en el búfer del servidor HTTP llamdao «boa», debido a copias inseguras de parámetros de gran longitud.

La lista de dispositivos que podrían estar afectados es muy larga, incluyendo dispositivos de fabricantes conocidos comoAIgital, ASUSTek, Beeline, Belkin, Buffalo, D-Link, Edimax, Huawei, LG, Logitec, MT-Link, Netis, Netgear, Occtel, PATECH, TCL, Sitecom, TCL, ZTE, Zyxel y los propoios routers que fabrica Realtek.

Estas vulnerabilidades fueron descubiertas el pasado mes de Mayo, sobre una base de código que no se ha modificado en los últimos 10 años.

Realtek ya ha sido informado de estas vulnerabilidades por parte de los investigadores que han descubierto esto, pero todavía no conocemos ningún comunicado al respecto. Como solemos recomendar, hay que actualizar los dispositivos a la última versión disponible para solucionar este tipo de errores de seguridad.

Imagen:Foto de Tecnología creado por rawpixel.com – www.freepik.es


Fuente: TheHackerNews

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity