首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】ThroughTek Kalay P2P SDK遠程代碼執行漏洞 (CVE-2021-28372)

發布時間 2021-08-18

0x00 漏洞概述

CVE     ID

CVE-2021-28372

時      間

2021-08-18

類      型

RCE

等      級

嚴重

遠程利用

影響范圍


攻擊復雜度

可用性

用戶交互

所需權限

PoC/EXP

已公開

在野利用


 

0x01 漏洞詳情

image.png

2021年8月17日,Mandiant(FireEye)與美國網絡安全和基礎設施安全局(CISA) 合作披露了一個嚴重的物聯網安全漏洞(CVE-2021-28372, CVSSv3評分為9.6) 。該漏洞為ThroughTek Kalay P2P SDK中的遠程代碼執行漏洞,影響了數百萬使用ThroughTek  Kalay IoT 云平臺連接的物聯網設備。

該漏洞由 Mandiant 紅隊的研究人員于 2020 年末發現,遠程攻擊者可以利用此漏洞入侵物聯網設備。ThroughTek表示,其平臺上有超過8300萬個活躍設備和超過11億的月連接,其客戶包括物聯網攝像頭制造商、智能嬰兒監視器和數字視頻錄像機(DVR)產品。

成功利用此漏洞的遠程攻擊者能夠收聽實時音頻、觀看實時視頻數據、破壞設備憑據、遠程控制受影響設備并執行其它操作。攻擊所需的唯一信息是目標用戶的Kalay唯一標識符(UID),該標識符可以通過社會工程獲得。此外,攻擊者還可以使用 RPC(遠程過程調用)功能來完全接管設備。

image.png

 

Kalay協議是以軟件開發工具包(SDK)的形式實現的,它被內置于客戶端軟件(如移動或桌面應用程序)和聯網的物聯網設備,如智能相機中。由于Kalay協議是由原始設備制造商(OEM)和經銷商在設備到達消費者之前集成的,因此暫時無法確定受此漏洞影響的產品和公司的完整名單。

 

影響范圍

以下版本的 Kalay P2P SDK受此漏洞影響:

l  3.1.5 及更早版本

l  帶有 nossl 標簽的 SDK 版本

l  不使用 AuthKey 進行 IOTC 連接的設備固件

l  使用 AVAPI 模塊而不啟用 DTLS 機制的設備固件

l  使用 P2PTunnel 或 RDT 模塊的設備固件

 

0x02 處置建議

目前ThroughTek 已發布了 SDK 更新,建議參考以下方式及時修復或升級:

l  如果使用ThroughTek SDK v3.1.10及以上版本,請開啟AuthKey和DTLS;

l  如果使用v3.1.10之前的舊版本ThroughTek SDK,請將庫升級到v3.3.1.0或v3.4.2.0,并啟用AuthKey和DTLS。

 

通用安全建議

l  盡量減少所有控制系統設備或系統的網絡暴露情況,并確保它們不能從互聯網訪問。

l  將控制系統網絡和遠程設備置于防火墻之后,并將其與商業網絡隔離。

l  當需要遠程訪問時使用安全的方法,如虛擬專用網絡(VPN),并確保VPN是最新版本。

 

下載鏈接:

https://www.throughtek.com/please-update-the-sdk-version-to-minimize-the-risk-of-sensitive-information-being-accessed-by-unauthorized-third-party/

 

0x03 參考鏈接

https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01

https://securityaffairs.co/wordpress/121226/hacking/kalay-cloud-platform-critical-flaw.html?

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-18

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇