• Votre panier est vide.

  • LOGIN

Des millions de caméras web et de moniteurs pour bébés sont exposés.


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs ne divulguent pas les détails de leur analyse du protocole Kalay ni les spécificités de l’exploitation de la vulnérabilité. Ils affirment qu’ils n’ont pas vu de preuves d’une exploitation dans le monde réel et que leur objectif est de sensibiliser le public au problème sans fournir une feuille de route aux attaquants réels.

Pour se défendre contre l’exploitation, les appareils doivent exécuter la version 3.1.10 de Kalay, initialement publiée par ThroughTek fin 2018, ou une version plus récente. Mais même la version actuelle du SDK de Kalay (3.1.5) ne corrige pas automatiquement la vulnérabilité. Au lieu de cela, ThroughTek et Mandiant affirment que pour colmater la brèche, les fabricants doivent activer deux fonctionnalités optionnelles de Kalay : le protocole de communication chiffrée DTLS et le mécanisme d’authentification API AuthKey.

« Nous avons été informés par Mandiant d’une vulnérabilité … qui pourrait permettre à un tiers malveillant d’accéder sans autorisation à des informations sensibles, et nous avons notifié nos clients et aidé les clients qui ont utilisé le SDK obsolète à mettre à jour le firmware des appareils », déclare Yi-Ching Chen, membre de l’équipe de réponse aux incidents de sécurité des produits chez ThroughTek.

Chen ajoute cependant qu’il a été difficile de convaincre les clients de procéder à des mises à jour en masse, une observation qui rejoint les conclusions de Mandiant. Trois ans après la publication d’une version du SDK contenant des options permettant d’arrêter ce type d’attaques, les chercheurs de Mandiant sont tombés sur une population massive d’appareils toujours vulnérables.

« Au cours des trois dernières années, nous avons informé nos clients de mettre à jour leur SDK », explique Chen de ThroughTek. « Certains vieux appareils n’ont pas d’OTA [over the air update] , ce qui rend la mise à niveau impossible. De plus, nous avons des clients qui ne veulent pas activer le DTLS car cela ralentirait la vitesse d’établissement de la connexion, ils hésitent donc à faire la mise à niveau. »

Valletta de Mandiant affirme que la version du SDK de ThroughTek de fin 2018 n’était pas accompagnée d’informations adéquates pour les clients sur l’importance de mettre à jour et d’activer de manière proactive les deux fonctions de protection. La société a récemment publié une alerte en réponse aux recherches de Mandiant, qui est plus énergique.

« Il ne s’agit pas d’une solution rapide pour de nombreux clients de ThroughTek, aussi, lorsqu’elle est présentée comme une mise à jour optionnelle, nous pensons que beaucoup d’entre eux n’en ont pas fait une priorité, car ils n’ont pas réalisé qu’elle était liée à l’atténuation d’une vulnérabilité critique « , déclare Valletta.

Les chercheurs de Nazomi Networks ont également récemment divulgué les éléments suivants une autre vulnérabilité de Kalay qui pourrait être exploitée pour accéder à des flux audio et vidéo en direct. Et les chercheurs ont avertissent depuis des années sur les implications potentielles en matière de sécurité des plateformes IoT préfabriquées comme Kalay.

Pour les utilisateurs réguliers qui ont déjà des appareils vulnérables chez eux ou dans leur entreprise, il n’y a pas de liste complète des appareils touchés sur laquelle se baser. Vous devez simplement installer toutes les mises à jour logicielles disponibles sur vos appareils intégrés, dans la mesure du possible. M. Valletta, de Mandiant, espère que la divulgation publique d’aujourd’hui contribuera à la sensibilisation et incitera davantage de grands fournisseurs à mettre à jour Kalay dans leurs produits. Mais il ajoute qu’il est réaliste de penser que les appareils fabriqués par les petites entreprises, celles qui n’investissent pas beaucoup dans la sécurité ou celles qui achètent leurs appareils auprès de fournisseurs en marque blanche et y apposent ensuite le nom d’une marque, ne recevront jamais de correctifs.

« Je pense qu’il y a de la lumière au bout du tunnel, mais j’hésite à dire que tout le monde va appliquer des correctifs », dit M. Valletta. « Nous faisons ce travail depuis des années, et nous voyons beaucoup de modèles et de types de bogues, encore et encore. La sécurité de l’internet des objets a encore beaucoup de retard à rattraper. »

Mise à jour le 17 août 2021 à 13h ET pour inclure le commentaire de ThroughTek et un contexte supplémentaire sur les mesures d’atténuation de Mandiant.


Voir aussi :

août 18, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)