Mandiant annuncia che i suoi ricercatori hanno rilevato che 83 milioni di smart home devices, utilizzati dai consumatori di tutto il mondo – come baby monitor, DVR e telecamere – sono vulnerabili, con il rischio che gli aggressori possano prenderne agevolmente possesso.

IoT, oltre 30 miliardi di connessioni entro il 2025

Mandiant, in coordinamento con la Cybersecurity and Infrastructure Security Agency (“CISA”), ha pubblicato una vulnerabilità con severità critica che colpisce milioni di dispositivi IoT che utilizzano la rete ThroughTek “Kalay”.

Questa vulnerabilità, scoperta dai ricercatori del Red Team di Mandiant alla fine del 2020, può consentire agli aggressori di compromettere da remoto i dispositivi IoT delle vittime, permettendo loro di ascoltare audio dal vivo, guardare dati video in tempo reale e compromettere le credenziali del dispositivo. Ulteriori attacchi possibili includono azioni volte a controllare da remoto i dispositivi compromessi.

Al momento della stesura di questo blog, ThroughTek pubblicizza la presenza di oltre 83 milioni di dispositivi attivi e oltre 1,1 miliardi di connessioni mensili sulla propria piattaforma. I clienti di ThroughTek includono produttori di fotocamere IoT, smart baby monitors e prodotti per videoregistratori digitali (“DVR”).

A differenza della vulnerabilità pubblicata dai ricercatori di Nozomi Networks nel maggio 2021 (anche questa in coordinamento con CISA), questa invece consente agli aggressori di comunicare, controllare e eseguire comandi da remoto sui dispositivi vulnerabili.

Il protocollo Kalay è implementato come un kit di sviluppo software (“SDK”) integrato nei software client (ad esempio nelle applicazioni mobile o desktop) e nei dispositivi IoT collegati in rete, come le foto/video-camere. Dato il meccanismo con cui il protocollo Kalay viene integrato dai produttori (“OEM”) e dai rivenditori prima ancora che i dispositivi raggiungano i consumatori finali, Mandiant non è in grado al momento di fornire un elenco completo dei prodotti e delle aziende interessate dalla vulnerabilità scoperta.

A questa vulnerabilità è stato assegnato un punteggio “base” CVSS3.1 di 9,6 ed è stata censita come CVE-2021-28372 e FEYE-2021-0020. Questo blog racconta la vulnerabilità CVE-2021-28372 ad alto livello e include anche raccomandazioni di ThroughTek e Mandiant, oltre alle diverse opzioni di mitigazione.

Mandiant desidera ringraziare sia CISA che ThroughTek per il coordinamento e supporto nella pubblicazione di questo avviso.