Los investigadores descubren 33 vulnerabilidades que afectan a ‘millones’ de dispositivos domésticos inteligentes de IoT

Los investigadores de ciberseguridad han descubierto una gran cantidad de vulnerabilidades incluidas en el software básico de código abierto que se utiliza en “millones” de dispositivos domésticos inteligentes y de IoT.

Las 33 vulnerabilidades, reveladas por la firma de ciberseguridad Forescout, afectan cuatro pilas TCP / IP de código abierto que se utilizan en dispositivos creados por más de 150 proveedores. En conjunto, las 33 vulnerabilidades, que incluyen cuatro fallas de seguridad críticas, se denominan “AMNESIA: 33”.

Según Forescout, las vulnerabilidades causan daños en la memoria, lo que podría permitir a los atacantes poner en peligro los dispositivos, ejecutar código malicioso, robar información confidencial y realizar ataques de denegación de servicio.

  

La mayoría de los dispositivos afectados son productos orientados al consumidor, como cámaras y sensores de temperatura remotos. Sin embargo, pueden abarcar desde simples enchufes inteligentes y enrutadores de oficina hasta componentes de sistemas de control industrial y dispositivos de atención médica.

La gravedad de las fallas, así como su carácter generalizado, llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad a emitir un boletín advirtiendo a los usuarios y fabricantes de la amenaza. Recomendó medidas defensivas como eliminar la infraestructura crítica de Internet.

A pesar del potencial de explotación, CISA señaló que no parece haber ningún exploit público activo dirigido específicamente a estas vulnerabilidades en la naturaleza.

Sin embargo, uno de los aspectos preocupantes de las vulnerabilidades es el hecho de que existen en el software de código abierto, dijo Forescout. Eso podría significar que abordarlos es mucho más difícil, ya que el software de código abierto a menudo es mantenido por voluntarios y parte del código vulnerable tiene dos décadas de antigüedad.

Dependerá de los fabricantes de dispositivos identificar y parchear las vulnerabilidades. Sin embargo, debido a que parte del código comprometido existe en un componente de terceros, el uso del componente debe haberse documentado para que los fabricantes de dispositivos sepan que está allí.

Forescout alertó a las autoridades de ciberseguridad de EE. UU., Alemania y Japón, además de a tantos proveedores de dispositivos como pudo.

Aún no se ha publicado una lista completa de los dispositivos afectados. Se dice que la lista incluye a Siemens, Genetec, Devolo, NT-Ware, Microchip y Nanotec.

Se recomienda que los usuarios con dispositivos domésticos inteligentes consulten el sitio web del fabricante para obtener el parche y la información de seguridad más recientes. Más allá de eso, dependerá principalmente de los fabricantes mitigar y resolver el problema.

AppleEl protocolo HomeKit en sí no se ve afectado por las fallas de seguridad. Sin embargo, muchos dispositivos utilizan más de un protocolo de red o tienen múltiples compatibilidades de sistemas de automatización del hogar y, como tales, pueden ser vulnerables a ataques si alguno se manifiesta.