研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备
编译:代码卫士
安全研究员警告称,通过 ThroughTek 公司 Kalay 物联网云平台连接的数千万台设备受一个严重漏洞(CVE-2021-28372)影响。该漏洞的CVSS v3 评分为9.6,存在于 Kalay 协议中,可导致远程攻击者获得对实时音频和视频流的访问权限,或者接管易受攻击设备。
该漏洞影响视频和监控解决方案以及家庭自动化物联网系统的多家制造商,这些解决方案和系统使用 Kalay 网络,更方便地和一款相应的app进行连接和通信。远程攻击者获得对实时音频和视频流的访问权限,或者接管易受攻击设备。
Mandiant 公司的红队研究员在2020年地发现了该漏洞,并协同美国网络安全和基础设施安全局 (CISA) 和 ThroughTek 公司披露漏洞和缓解措施。
CVE-2021-28372 是一个设备冒充漏洞,CVSS v3 评分为9.6,影响 Kalay 协议。该协议以 SDK 的形式构建于移动和桌面应用程序中。
Mandiant 公司的研究员 Jake Valletta、Erik Barzdukas 和 Dillon Franke 查看了 Kalay 协议后发现仅需设备的唯一标识符即可在 Kalay 网络上注册设备。循着这条线索,研究员发现一个 Kalay 客户端如移动 app 通常会从物联网设备厂商托管的 web API 接收 UID。攻击者只要拥有目标系统的 UID就能在 Kalay 网络上注册设备,控制并接收所有的客户端连接尝试。这就使得攻击者获得登录凭证,远程访问受害者设备的音视频数据。
研究人员表示,这种访问类型,加上设备执行的 RPC 接口中的漏洞即可导致设备遭完全攻陷,“处理 Kalay 数据的物联网设备上的二进制通常以特权用户身份 root 并缺乏常见的二进制防护措施如 ASLR、PIE、栈金丝雀和 NX 位。”
在漏洞研究过程中,研究人员开发出对 Kalay 协议的功能实现,从而发现了设备并进行注册、连接到远程客户端、认证并处理音视频数据。另外还创建了 PoC 代码,冒充 Kalay 网络上的设备。
从 ThroughTek 公司最新的数据来看,Kalay 平台上拥有超过8300万台活跃设备,每个月管理的连接超过10亿。
7月20日,ThroughTek 公司发布关于SDK中另外一个严重漏洞 (CVE-2021-32934) 的安全公告,并在8月13日更新,提供了CVE-2021-28372 的缓解措施指南:
如使用的是 ThroughTek SDK v3.1.10 及后续版本,请启用 AuthKey 和 DTLS,保护传输中的数据;
如使用的是 ThroughTek SDK v3.1.10 之前的老旧版本,请将库更新至 v3.3.1.0或 v3.4.2.0 并启用 AuthKey 和 DTLS。
研究员还推荐审计 API 上定义的安全控制或其它可返回 Kalay UID 的服务。他们注意到利用该漏洞的攻击者需要具备 Kalay 协议的知识以及如何生成和交付信息的知识。而获取UID要求攻击者具备社工技术或利用其它漏洞。
设备所有人可采取的缓解措施是将设备软件和应用程序更新至最新版本,设置复杂、唯一的登录密码。另外,应当避免将物联网设备连接至不可信网络(如公共WiFi)。
由于大量制造商都在使用 Kalay 平台,因此难以获取受影响品牌的清单。
CISA 也发布了相关安全公告,提供了相关技术详情和缓解建议。
Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
这个严重的无补丁 UPnP 漏洞影响几乎所有的IoT设备:绕过安全系统、扫描LANs
IoT设备有多不堪一击?你熟悉的13款SOHO和NAS设备竟含125个CVE
https://www.bleepingcomputer.com/news/security/critical-bug-impacting-millions-of-iot-devices-lets-hackers-spy-on-you/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。