{"id":1373062,"date":"2024-09-23T17:40:22","date_gmt":"2024-09-23T17:40:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-fallo-critico-en-el-microchip-asf-expone-los-dispositivos-iot-al-riesgo-de-ejecucion-remota-de-codigo\/"},"modified":"2024-09-23T17:40:27","modified_gmt":"2024-09-23T17:40:27","slug":"un-fallo-critico-en-el-microchip-asf-expone-los-dispositivos-iot-al-riesgo-de-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-fallo-critico-en-el-microchip-asf-expone-los-dispositivos-iot-al-riesgo-de-ejecucion-remota-de-codigo\/","title":{"rendered":"Un fallo cr\u00edtico en el microchip ASF expone los dispositivos IoT al riesgo de ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad y vulnerabilidad de IoT<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha descubierto una falla de seguridad cr\u00edtica en el Advanced Software Framework (ASF) de Microchip que, de ser explotada con \u00e9xito, podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

La vulnerabilidad, rastreada como CVE-2024-7490<\/a>tiene una puntuaci\u00f3n CVSS de 9,5 sobre un m\u00e1ximo de 10,0. Se ha descrito como una vulnerabilidad de desbordamiento basada en pila en la implementaci\u00f3n del servidor tinydhcp de ASF que se origina en una falta de validaci\u00f3n de entrada adecuada.<\/p>\n

“Existe una vulnerabilidad en todos los ejemplos disponibles p\u00fablicamente del c\u00f3digo base de ASF que permite que una solicitud DHCP especialmente dise\u00f1ada provoque un desbordamiento basado en pila que podr\u00eda llevar a la ejecuci\u00f3n remota de c\u00f3digo”, Centro de Coordinaci\u00f3n CERT (CERT\/CC) dicho<\/a> en un aviso.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Dado que el software ya no recibe soporte y est\u00e1 basado en un c\u00f3digo centrado en IoT, CERT\/CC advirti\u00f3 que es probable que la vulnerabilidad “surgiera en muchos lugares”.<\/p>\n

El problema afecta a ASF 3.52.0.2574 y a todas las versiones anteriores del software, y la agencia tambi\u00e9n se\u00f1ala que es probable que varias bifurcaciones del software tinydhcp tambi\u00e9n sean susceptibles a la falla.<\/p>\n

Actualmente no hay correcciones ni mitigaciones para abordar CVE-2024-7490, salvo reemplazar el servicio tinydhcp con otro que no tenga el mismo problema.<\/p>\n

El desarrollo se produce luego de que SonicWall Capture Labs detallara una grave vulnerabilidad de cero clic que afectaba a los chipsets Wi-Fi de MediaTek (CVE-2024-20017<\/a>CVSS 9.8) que podr\u00eda abrir la puerta a la ejecuci\u00f3n remota de c\u00f3digo sin requerir ninguna interacci\u00f3n del usuario debido a un problema de escritura fuera de l\u00edmites.<\/p>\n

“Las versiones afectadas incluyen las versiones 7.4.0.1 y anteriores del SDK de MediaTek, as\u00ed como OpenWrt 19.07 y 21.02”, dijo la compa\u00f1\u00eda. dicho<\/a>“Esto se traduce en una gran variedad de dispositivos vulnerables, incluidos enrutadores y tel\u00e9fonos inteligentes”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“La vulnerabilidad es un desbordamiento de b\u00fafer como resultado de un valor de longitud tomado directamente de los datos del paquete controlado por el atacante sin verificaci\u00f3n de l\u00edmites y colocado en una copia de memoria. Este desbordamiento de b\u00fafer crea una escritura fuera de l\u00edmites”.<\/p>\n

Se ha creado un parche para la vulnerabilidad. liberado<\/a> por MediaTek en marzo de 2024, aunque la probabilidad de explotaci\u00f3n ha aumentado con el disponibilidad p\u00fablica<\/a> de un exploit de prueba de concepto (PoC) a partir del 30 de agosto de 2024.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n