ThroughTek P2P SDK信息泄露漏洞(CVE-2021-32934)
发布时间 2021-06-160x00 漏洞概述
CVE ID | CVE-2021-32934 | 时 间 | 2021-06-16 |
类 型 | 信息泄露 | 等 级 | 严重 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 低 | 可用性 | 无 |
用户交互 | 无 | 所需权限 | 无 |
PoC/EXP | 已公开 | 在野利用 | 否 |
0x01 漏洞详情
2021年06月15日,美国网络安全和基础设施安全局 (CISA)发布预警,数以百万计的联网安全和家用摄像头包含一个信息泄露漏洞(CVE-2021-32934),其CVSS v3基本评分为9.1。
该漏洞存在于ThroughTek的P2P SDK中。由于本地设备和ThroughTek 服务器之间明文传输数据,远程攻击者可以通过利用此漏洞窃取敏感信息。并且该组件已被多家安全摄像头的原始设备制造商 (OEM) 以及物联网设备制造商使用,例如婴儿和宠物监控摄像头,以及机器人和电池设备。
未授权查看这些设备的信息将导致诸多问题:对于关键基础设施运营商和企业而言,音视频信息会泄露敏感的业务数据、生产或竞争机密、可用于物理攻击的平面图信息以及员工信息等;而对于家庭用户来说,将泄露其隐私。
影响范围:
3.1.10以下版本
带有nossl标签的SDK版本
不使用AuthKey进行IOTC连接的设备固件
使用AVAPI模块而不启用DTLS机制的设备固件
使用P2PTunnel或RDT模块的设备固件
0x02 处置建议
目前此漏洞已经修复,ThroughTek建议相关制造商实施以下缓解措施:
如果 SDK版本 >= 3.1.10 ,请启用 authkey 和 DTLS。
如果 SDK版本< 3.1.10,请将库升级到 v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。
官方链接:
https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/
通用安全建议
尽量减少所有控制系统设备或系统的网络暴露情况,并确保它们不能从互联网访问。
将控制系统网络和远程设备置于防火墙之后,并将其与商业网络隔离。
当需要远程访问时使用安全的方法,如虚拟专用网络(VPN),并确保VPN是最新版本。
0x03 参考链接
https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01
https://threatpost.com/millions-connected-cameras-eavesdropping/166950/
https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/
0x04 时间线
2021-06-15 CISA发布安全公告
2021-06-16 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号