Le nuove vulnerabilità IoT che riguardano ThroughTek Kaylay (TUTK) colpiscono oltre 100 milioni di dispositivi

redazione

 Bitdefender pubblica oggi una ricerca che ha identificato quattro vulnerabilità in ThroughTek Kaylay (TUTK), una popolare piattaforma IoT utilizzata da molti fornitori. La rete TUTK conta circa 107 milioni di dispositivi connessi (secondo le stime di ThroughTek), la maggior parte dei quali (80%) sono telecamere di sorveglianza e dispositivi di sicurezza.

I ricercatori di Bitdefender sono riusciti a utilizzare le vulnerabilità TUTK per violare i dispositivi prodotti da tre marchi diffusi (Roku, Wyze e Owlet), in particolare: Roku Indoor Camera SE; Owlet Cam Next-Gen Smart HD Video Baby Monitor (versioni 1 e 2); Wyze Cam v3. Ma le vulnerabilità, tutte valutate come di fascia alta, riguardano almeno un centinaio di milioni di dispositivi secondo una prudente stima del vendor.

Le vulnerabilità, se interconnesse, consentono di violare completamente il dispositivo per controllarlo, spiare o distribuire malware.

L’attacco è locale, il che significa che il criminale informatico deve essere connesso alla stessa rete, ma una volta stabilito può controllare il dispositivo in remoto tramite il cloud. Queste vulnerabilità sono state risolte e aggiornate. Bitdefender invita gli utenti di Roku Indoor Camera SE, Owlet Cam Next-Gen Smart HD Video Baby Monitor (versioni 1 e 2) e Wyze Cam v3 ad eseguire l’ultimo aggiornamento disponibile.

Risultati principali

Sono state riscontrate diverse (4) vulnerabilità in ThroughTek Kalay (TUTK):

  • CVE-2023-6321 consente a un utente autenticato di eseguire comandi di sistema come utente root, portando alla completa violazione del dispositivo
  • CVE-2023-6322 consente ai criminali informatici di ottenere l’accesso root attraverso una vulnerabilità di buffer overflow basata su stack nel gestore di un messaggio IOCTL.
  • CVE-2023-6323 espone una falla attraverso la quale un criminale informatico può ottenere illecitamente la AuthKey segreta che consente di stabilire una connessione preliminare al dispositivo vittima.
  • CVE-2023-6324 sfrutta una vulnerabilità che consente ai criminali informatici di dedurre la chiave pre-condivisa per una sessione DTLS, un prerequisito fondamentale per connettersi e parlare con i dispositivi colpiti.

I criminali informatici stanno intensificando gli attacchi contro i dispositivi IoT perché la maggior parte delle reti domestiche intelligenti sono connesse anche a realtà più grandi, come le reti aziendali.

Bitdefender raccomanda agli utenti di eseguire gli aggiornamenti più recenti e di verificare che il router domestico sia protetto perché, se compromesso, tutte le vulnerabilità (anche quelle basate su LAN) possono violare la loro sicurezza e la loro privacy.