这个新漏洞使数百万个连接的摄像头被窃听
美网络安全和基础设施安全局 (CISA) 周二发布了一份关于影响 ThrowTek 软件开发工具包 (SDK) 的关键软件供应链漏洞的公告,攻击者可能会滥用该漏洞以不当访问音频和视频流。“成功利用此漏洞可能允许未经授权访问敏感信息,例如相机音频/视频源,”CISA在报告中说。
通泰的点对点(P2P)SDK广泛应用于具有视频监控或音视频传输能力的物联网设备,如IP摄像头、婴儿和宠物监控摄像头、智能家电和传感器,以提供对媒体内容的远程访问通过互联网。
跟踪为CVE-2021-32934(CVSS评分:9.1),该缺陷影响ThroughTek P2P产品3.1.5及之前版本以及带有nossl标签的SDK版本,并且在本地之间传输数据时缺乏足够的保护设备和 ThroughTek 的服务器。
该漏洞由 Nozomi Networks 于 2021 年 3 月报告,该公司指出,使用易受攻击的安全摄像头可能会暴露敏感的业务、生产和员工信息,从而使关键基础设施运营商面临风险。
连接的相机
“ThroughTek 使用的 [P2P] 协议缺乏安全的密钥交换 [并且] 依赖于基于固定密钥的混淆方案,”总部位于旧金山的物联网安全公司表示。“由于此流量穿越互联网,因此能够访问它的攻击者可以重建音频/视频流。”
为了演示该漏洞,东方联盟研究人员创建了一个概念验证 (PoC) 漏洞,该漏洞可以对网络流量中的动态数据包进行反混淆。
企业密码管理
ThroughTek建议原始设备制造商 (OEM) 使用 SDK 3.1.10 及更高版本启用 AuthKey 和DTLS,并且那些依赖 3.1.10 之前的 SDK 版本的原始设备制造商将库升级到版本 3.3.1.0 或 v3.4.2.0 并启用身份验证密钥/DTLS。
由于该漏洞影响的软件组件是许多消费级安全摄像头和物联网设备 OEM 供应链的一部分,因此这种利用的后果可能会有效地破坏设备的安全性,使攻击者能够访问和查看机密音频或视频流。
东方联盟研究人员说:“由于多年来,ThroughTek 的 P2P 库已被多个供应商集成到许多不同的设备中,第三方几乎不可能跟踪受影响的产品。” (欢迎转载分享)