Mandiant rilascia i dettagli della vulnerabilità del dispositivo IoT critico di ThroughTek. Poiché la vulnerabilità è classificata come 3.0 su 9.6 secondo il punteggio CVSS10, è considerata critica.
Secondo i risultati di Mandiant, questa vulnerabilità interessa milioni di dispositivi IoT che utilizzano la rete ThroughTek “Kalay”. Al momento della pubblicazione, Mandiant non è in grado di fornire un elenco completo dei dispositivi interessati. Tuttavia, ThroughTek riporta sul proprio sito Web che potrebbero essere interessati più di 83 milioni di dispositivi IoT. Questi includono videocamere connesse a Internet, baby monitor e videoregistratori digitali (prodotti "DVR").
Vulnerabilità in più di 83 milioni di dispositivi?
Gli aggressori possono compromettere in remoto i dispositivi tramite la vulnerabilità (CVE-2021-28372) e, tra le altre cose:
- Ascolta l'audio dal vivo
- Visualizza i dati video in tempo reale
- Compromette le informazioni sui dati per ulteriori attacchi in base alle capacità del dispositivo violato
Secondo l'attuale versione del CVSS v3.0, un punteggio di 0,0 è una valutazione "Nessuno", un punteggio da 0,1 a 3,9 è una valutazione "Bassa" e un punteggio compreso tra 4,0 e 6,9 è equivalente alla gravità "Media ". E un punteggio compreso tra 9,0 e 10,0 riceve una valutazione critica.
In un post sul blog, Mandiant ha riassunto i dati e i risultati della ricerca raccolti nel corso dei mesi, nonché raccomandazioni per gli utenti di dispositivi intelligenti.
Altro su FireEye.com
A proposito di Trellix Trellix è un'azienda globale che ridefinisce il futuro della sicurezza informatica. La piattaforma XDR (Extended Detection and Response) aperta e nativa dell'azienda aiuta le organizzazioni che affrontano le minacce più avanzate di oggi a ottenere la certezza che le loro operazioni siano protette e resilienti. Gli esperti di sicurezza di Trellix, insieme a un vasto ecosistema di partner, accelerano l'innovazione tecnologica attraverso l'apprendimento automatico e l'automazione per supportare oltre 40.000 clienti aziendali e governativi.