Fallos críticos en la pila TCP/IP afectan a millones de dispositivos IoT

La agencia de ciberseguridad de los Estados Unidos (CISA) ha advertido de vulnerabilidades críticas en una biblioteca de software TCP/IP de bajo nivel desarrollada por la empresa Treck.

Los cuatro fallos, que fueron reportados por Intel, afectan a la pila TCP/IP de Treck versión 6.0.1.67 y anteriores. Dos de ellos están clasificados como críticos.

La pila TCP/IP de Treck se utiliza en todo el mundo para fabricar dispositivos IoT, dispositivos de atención sanitaria y los sistemas de transporte.

La vulnerabilidad más grave de las 4 es un desbordamiento de memoria intermedia identificado bajo el código (CVE-2020-25066) en el componente Treck del servidor HTTP. Este fallo podría permitir a un atacante ejecutar código remoto. Tiene una puntuación CVSS de 9,8 sobre un máximo de 10.

El segundo fallo encontrado (CVE-2020-27337, puntuación CVSS 9,1) se trata de una validación de entrada inapropiada en el componente IPv6 que permite a un atacante remoto no autenticado causar una escritura fuera de límites y posiblemente una denegación de servicio mediante el acceso de red.

Las otras dos vulnerabilidades tienen un riesgo bastante menor a las anteriores. La primera (CVE-2020-27338, con puntuación CVSS 5,9) y la segunda (CVE-2020-27336, puntuación CVSS 3,7).

Treck recomienda a los usuarios que actualicen a la versión 6.0.1.68 para corregir los fallos reportados.

Más información:

https://us-cert.cisa.gov/ics/advisories/icsa-20-353-01

Compartir