Un reporte de seguridad informática señala la detección de dos vulnerabilidades críticas en One Speaker, una popular bocina inteligente fabricada por la firma tecnológica Sonos. Según el reporte, la explotación exitosa de las fallas permitiría el despliegue de múltiples tareas de hacking.
A continuación se presentan breves descripciones de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-24046: Un subdesbordamiento de enteros dentro del daemon anacapd permitiría a los actores de amenazas remotos enviar una solicitud especialmente diseñada a la aplicación afectada, desencadenando la falla y un subdesbordamiento de enteros y ejecutando código arbitrario en los sistemas afectados.
Esta es una falla crítica y recibió un puntaje CVSS de 9/10.
CVE-2022-24049: Un error de límite dentro del códec de audio ALAC permitiría a los actores de amenazas remotos no autenticados desencadenar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en los sistemas vulnerables.
La vulnerabilidad recibió un puntaje CVSS de 9/10.
Según el reporte, las fallas residen en los modelos de One Speaker con software versión 11.2.13 57923290. Por el momento no existen parches de seguridad para abordar estas vulnerabilidades.
Si bien aún no existen parches y los errores pueden ser explotados de forma remota por actores de amenazas no autenticados, aún no se han detectado intentos de explotación activa o una variante de malware vinculada al ataque. Aún así, se recomienda a los usuarios de implementaciones afectadas mantenerse al tanto de cualquier actualización de la compañía.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.