【漏洞通告】ThroughTek Kalay P2P SDK远程代码实行漏洞 (CVE-2021-28372)

发布时间 2021-08-18

0x00 漏洞概述

CVE     ID

CVE-2021-28372

时      间

2021-08-18

类      型

RCE

等      级

严重

远程利用

影响范围


攻击复杂度

可用性

用户交互

所需权限

PoC/EXP

已公开

在野利用


 

0x01 漏洞详情

image.png

2021年8月17日,Mandiant(FireEye)与美国网络安全和基础设施安全局(CISA) 合作披露了一个严重的物联网安全漏洞(CVE-2021-28372, CVSSv3评分为9.6) 。该漏洞为ThroughTek Kalay P2P SDK中的远程代码实行漏洞,影响了数百万使用ThroughTek  Kalay IoT 云平台连接的物联网设备。

该漏洞由 Mandiant 红队的研究人员于 2020 年末发现,远程攻击者可以利用此漏洞入侵物联网设备。ThroughTek表示,其平台上有超过8300万个活跃设备和超过11亿的月连接,其客户包括物联网摄像头制造商、智能婴儿监视器和数字视频录像机(DVR)产品。

成功利用此漏洞的远程攻击者能够收听实时音频、观看实时视频数据、破坏设备凭据、远程控制受影响设备并实行其它操作。攻击所需的唯一信息是目标用户的Kalay唯一标识符(UID),该标识符可以通过社会工程获得。此外,攻击者还可以使用 RPC(远程过程调用)功能来完全接管设备。

image.png

 

Kalay协议是以App开发工具包(SDK)的形式实现的,它被内置于客户端App(如移动或桌面应用程序)和联网的物联网设备,如智能相机中。由于Kalay协议是由原始设备制造商(OEM)和经销商在设备到达消费者之前集成的,因此暂时无法确定受此漏洞影响的产品和企业的完整名单。

 

影响范围

以下版本的 Kalay P2P SDK受此漏洞影响:

l  3.1.5 及更早版本

l  带有 nossl 标签的 SDK 版本

l  不使用 AuthKey 进行 IOTC 连接的设备固件

l  使用 AVAPI 模块而不启用 DTLS 机制的设备固件

l  使用 P2PTunnel 或 RDT 模块的设备固件

 

0x02 处置建议

目前ThroughTek 已发布了 SDK 更新,建议参考以下方式及时修复或升级:

l  如果使用ThroughTek SDK v3.1.10及以上版本,请开启AuthKey和DTLS;

l  如果使用v3.1.10之前的旧版本ThroughTek SDK,请将库升级到v3.3.1.0或v3.4.2.0,并启用AuthKey和DTLS。

 

通用安全建议

l  尽量减少所有控制系统设备或系统的网络暴露情况,并确保它们不能从互联网访问。

l  将控制系统网络和远程设备置于防火墙之后,并将其与商业网络隔离。

l  当需要远程访问时使用安全的方法,如虚拟专用网络(VPN),并确保VPN是最新版本。

 

下载链接:

https://www.throughtek.com/please-update-the-sdk-version-to-minimize-the-risk-of-sensitive-information-being-accessed-by-unauthorized-third-party/

 

0x03 参考链接

https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01

https://securityaffairs.co/wordpress/121226/hacking/kalay-cloud-platform-critical-flaw.html?

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-08-18

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png