El fabricante de chips NVIDIA anunció la corrección de algunas fallas de seguridad que podrían impactar en millones de dispositivos de Internet de las Cosas (IoT) que ejecutan chips Jetson. Acorde al reporte, la explotación de estas fallas permitiría el despliegue de ataques de denegación de servicio (DoS) o la intercepción de datos confidenciales.
La compañía lanzó actualizaciones para un total de 9 fallas de seguridad críticas, además de corregir ocho fallas de severidad baja. Estos parches abordarán toda clase de fallas en los más populares desarrollos de NVIDIA, usualmente empleados en sistemas informáticos integrados, sistemas de aprendizaje automático y dispositivos autónomos.
Los productos afectados incluyen la familia de chips Jetson, dispositivos AGX Xavier, Xavier NX/TX1, Jetson TX2 y Jetson Nano, que residen en el kit de desarrollo de software NVIDIA JetPack. Los parches se entregaron como parte de la última actualización de seguridad de NVIDIA.
De todas las fallas reportadas, la más crítica fue identificada como CVE-2021-31372 y permitiría a los actores de amenazas desplegar un desbordamiento de búfer en los sistemas afectados. El reporte de la compañía agregaba que los hackers requerirían de acceso a la red de un sistema para concretar el ataque, aunque el despliegue del ataque es relativamente fácil. La falla no ha recibido un puntaje acorde al Common Vulnerability Scoring System (CVSS).
Un ataque exitoso permitiría a los actores de amenazas conseguir acceso persistente a los componentes vulnerables, además de permitir que los hackers manipulen o inhabiliten los dispositivos afectados. El reporte de seguridad continúa mencionando que “el driver Jetson contiene una falla en el código de análisis de mensajes del protocolo NVIDIA OTE, donde un desbordamiento de enteros conduce al desbordamiento de búfer, derivando en escenarios de escalada de privilegios y denegación de servicio (DoS).”
Otra de las fallas severas que fueron corregidas afecta el kernel de Linux de confianza de Jetson y permite ataques de desbordamiento de búfer basado en el montón. Este tipo de ataque está dirigido al marco de memoria de datos del montón del chip, donde el componente se manipula para generar escenarios de riesgo.
NVIDIA concluyó su reporte recordando que las fallas podrían conducir a condiciones DoS, escaladas de privilegios y filtración de información confidencial, por lo que se recomienda instalar las actualizaciones a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.