首頁 > 安全研究 > 安全通報 > 安全通告

ThroughTek P2P SDK信息泄露漏洞(CVE-2021-32934)

發布時間 2021-06-16

0x00 漏洞概述

CVE   ID

CVE-2021-32934

時    間

2021-06-16

類    型

信息泄露

等    級

嚴重

遠程利用

影響范圍


攻擊復雜度

可用性

用戶交互

所需權限

PoC/EXP

已公開

在野利用

 

0x01 漏洞詳情

image.png

 

2021年06月15日,美國網絡安全和基礎設施安全局 (CISA)發布預警,數以百萬計的聯網安全和家用攝像頭包含一個信息泄露漏洞(CVE-2021-32934),其CVSS v3基本評分為9.1。

該漏洞存在于ThroughTek的P2P SDK中。由于本地設備和ThroughTek 服務器之間明文傳輸數據,遠程攻擊者可以通過利用此漏洞竊取敏感信息。并且該組件已被多家安全攝像頭的原始設備制造商 (OEM) 以及物聯網設備制造商使用,例如嬰兒和寵物監控攝像頭,以及機器人和電池設備。

未授權查看這些設備的信息將導致諸多問題:對于關鍵基礎設施運營商和企業而言,音視頻信息會泄露敏感的業務數據、生產或競爭機密、可用于物理攻擊的平面圖信息以及員工信息等;而對于家庭用戶來說,將泄露其隱私。

 

影響范圍:

3.1.10以下版本

帶有nossl標簽的SDK版本

不使用AuthKey進行IOTC連接的設備固件

使用AVAPI模塊而不啟用DTLS機制的設備固件

使用P2PTunnel或RDT模塊的設備固件

 

0x02 處置建議

目前此漏洞已經修復,ThroughTek建議相關制造商實施以下緩解措施:

如果 SDK版本 >= 3.1.10 ,請啟用 authkey 和 DTLS。

如果 SDK版本< 3.1.10,請將庫升級到 v3.3.1.0 或 v3.4.2.0 并啟用 authkey/DTLS。

官方鏈接:

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

 

通用安全建議

盡量減少所有控制系統設備或系統的網絡暴露情況,并確保它們不能從互聯網訪問。

將控制系統網絡和遠程設備置于防火墻之后,并將其與商業網絡隔離。

當需要遠程訪問時使用安全的方法,如虛擬專用網絡(VPN),并確保VPN是最新版本。

 

0x03 參考鏈接

https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

https://threatpost.com/millions-connected-cameras-eavesdropping/166950/

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

 

0x04 時間線

2021-06-15  CISA發布安全公告

2021-06-16  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

 

上一篇 下一篇