Cada vez más personas incorporan a las redes domésticas dispositivos inteligentes como bombillas, altavoces, Plugs… lo que se conoce como el Internet de las Cosas, IoT en sus siglas en inglés. En estos últimos días hemos conocido que Realtek, fabricante de chips para estos dispositivos, ha alertado de diferentes vulnerabilidades.
Se trata, unfortunately, of 4 vulnerabilidades calificadas como críticas. Dos de ellas (CVE-2021-35392 and CVE-2021-35393) implican al servidor de configuración del Wi-Fi, mediante la sobrecarga de distintos búferes tras un intercambio inseguro de mensajes SSDP NOTIFY y cabeceras UPnP SUBSCRIBE/UNSUBSCRIBE, respectively.
Con más criticidad se han valorado las vulnerabilidades CVE-2021-35394 and CVE-2021-35395, que reportan vulnerabilidades en el búfer y una ejecución de código arbitraria en la herramienta “UDPServer MP Tool” en el primer caso y múltiples vulnerabilidades en el búfer del servidor HTTP llamdao “boa”, debido a copias inseguras de parámetros de gran longitud.
La lista de dispositivos que podrían estar afectados es muy larga, incluyendo dispositivos de fabricantes conocidos comoAIgital, ASUSTek, Beeline, Belkin, Buffalo, D-Link, Edimax, Huawei, LG, Logitec, MT-Link, Netis, Netgear, Occtel, PATECH, TCL, Sitecom, TCL, ZTE, Zyxel y los propoios routers que fabrica Realtek.
Estas vulnerabilidades fueron descubiertas el pasado mes de Mayo, sobre una base de código que no se ha modificado en los últimos 10 years.
Realtek ya ha sido informado de estas vulnerabilidades por parte de los investigadores que han descubierto esto, but we still do not know of any statement regarding this. As we usually recommend, devices should be updated to the latest available version to fix this type of security errors.
Image:Technology Photo created by rawpixel.com – www.freepik.es
Fountain: TheHackerNews