Se han reportado varias vulnerabilidades de seguridad crítica en iLnkP2P, un componente de software de comunicaciones peer-to-peer (P2P) que, de ser explotada, permitiría a un hacker acceder y tomar control de alrededor de 2 millones de equipos de conectados vía (IoT).
Esta tecnología permite a los usuarios conectarse a sus dispositivos en el momento en el que se conectan a Internet; un atacante podría abusar de esta característica para explotar vulnerabilidades en estos dispositivos IoT y controlarlos de manera remota.
La vulnerabilidad en el componente de iLnkP2P podría permitir que un atacante realice diversas actividades maliciosas, como robo de contraseñas, espionaje de forma remota. Acorde con los reportes, el componente comprometido es empleado en cámaras de seguridad, webcams, monitores de bebé, entre otros dispositivos IoT.
Según los reportes, la vulnerabilidad ya ha afectado a cerca de 2 millones de dispositivos IoT distribuidos por múltiples compañías. Expertos agregan que es complicado establecer qué dispositivos están expuestos a la explotación de la vulnerabilidad, pues cientos de distribuidores de todo el mundo emplean el mismo componente iLnkP2P; no obstante, el número de serie (UID) ha sido vinculado a los dispositivos vulnerables, comentan los especialistas en cómputo forense.
Gracias a una prueba de concepto se identificaron los dos millones de dispositivos IoT vulnerables, de los cuales, cerca del 40% se encuentran en territorio chino, un 19% en toda Europa y el resto en Estados Unidos. También fue desarrollada una prueba de concepto funcional para el robo de contraseñas en los dispositivos vulnerables.
Las vulnerabilidades han sido identificadas como:
- CVE-2019-11219: Vulnerabilidad de enumeración en iLnkP2P que permite a los atacantes descubrir rápidamente los dispositivos en línea
- CVE-2019-11220: Vulnerabilidad de autenticación en iLnkP2P que permite a los atacantes interceptar conexiones y desplegar ataques (MiTM) de forma remota
Algunos de los investigadores que han reportado estas vulnerabilidades han tratado de contactar al equivalente al CERT en China y a los equipos de seguridad de iLnk, además de a algunos distribuidores, aunque ninguna de las organizaciones ha respondido a las solicitudes de información.
¿ Estarán estos dispositivos expuestos de forma expresa?
Fuente: Seginfo – SCI