Especialistas en ciberseguridad reportan la detección de al menos dos vulnerabilidades críticas en la freidora de aire COSORI SMART WIFI, una freidora de aire con capacidad de conexión a Internet que cuenta con gran popularidad en Amazon. Los usuarios de la freidora de aire COSORI Smart WiFi pueden controlar el dispositivo a través de una app para smartphones, llevando control completo de las funciones de este novedoso utensilio.
Esta freidora de aire también está habilitada para compatibilidad con Alexa y Google Assistant, por lo que bastan algunos comandos de voz para llevar el control de lo que esté cocinando.
Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas explotar código arbitrario en los dispositivos vulnerables. A continuación se presentan breves descripciones de las fallas reportadas, además de sus claves de seguridad y puntajes asignados por el Common Vulnerability Scoring Sistem (CVSS).
CVE-2020-28592: Un error de límite en la funcionalidad del servidor de configuración permitiría a los atacantes remotos usar un objeto JSON especialmente diseñado, provocar daños en la memoria y ejecutar código arbitrario en el sistema objetivo.
La vulnerabilidad recibió un puntaje de 7.4/10 y su explotación exitosa permitiría que los atacantes remotos ejecuten código arbitrario de forma relativamente fácil.
CVE-2020-28593: Los actores de amenazas pueden abusar de una funcionalidad de backdoor en el software dentro de la funcionalidad del servidor de configuración. Esta funcionalidad puede ser explotada para acceder completamente a la aplicación que controla este dispositivo, comprometiendo el sistema afectado.
Esta falla recibió un puntaje CVSS de 7.4/10, por lo que se le considera una vulnerabilidad crítica.
Las fallas residen en las siguientes versiones de Cosori Smart de 5.8 cuartos CS158-AF: 1.1.0.
Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados de forma remota, los expertos en ciberseguridad no han reportado la existencia de un malware asociado al ataque o intentos de explotación activa.
Por ahora no se han lanzado parches de seguridad para mitigar el riesgo de explotación, aunque se espera que los fabricantes aborden las fallas en la próxima actualización de la aplicación. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad