美國國土安全部旗下CISA發布安全公告,IoT平臺業者物聯智慧(ThroughTek)打造的Kalay P2P SDK含有重大安全漏洞,將允許駭客自遠端執行任意程式或存取機密資訊,而物聯智慧已修補該漏洞,呼籲用戶儘快更新。

美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)與資安業者FireEye本周警告,臺灣IoT平臺業者物聯智慧(ThroughTek)所打造的Kalay P2P SDK含有一重大安全漏洞CVE-2021-28372,將允許駭客自遠端執行任意程式或存取機密資訊,而物聯智慧則已修補該漏洞,並呼籲用戶儘快更新

根據物聯智慧的說明,Kalay為一奠基於P2P技術的基礎架構,具備多種模組化功能,還能根據客戶需求進行客製化,亦能以SDK形式嵌入應用程式或IoT裝置。

FireEye指出,CVE-2021-28372藏匿在Kalay平臺的一個核心元件中,駭客必須非常熟悉Kalay協定,並具備產生及傳送訊息的能力,也必須先取得Kalay的用戶ID(UID)才能發動攻擊,進一步危害相關UID的裝置。CISA則說,成功開採漏洞將允許駭客執行惡意程式或存取機密資訊,包括攝影機的音訊與視訊。其CVSS風險指數高達9.6。

研究人員表示,他們並不確定有多少裝置受到該漏洞的影響,但物聯智慧的官網顯示,全球有超過8,300萬個裝置採用Kalay平臺。

受到波及的Kalay P2P SDK包括3.1.5與之前的版本,擁有nossl標籤的SDK,在IOTC連線時未使用AuthKey的裝置韌體,採用AVAPI模組卻未啟用DTLS機制的韌體,以及採用RDT模組或P2PTunnel的韌體。

迄今尚未發現任何鎖定該漏洞的攻擊程式,物聯智慧建議用戶應立即更新。

此外,在兩個月前,CISA也曾警告該公司SDK含有CVE-2021-32934漏洞,當時物聯智慧說明早已於2018年釋出的SDK 3.1.10修補該漏洞,以及客戶不升級的狀況。

(編按:關於這次事件,FireEye指出,這個漏洞將影響百萬臺物聯網設備,是他們Mandiant的紅隊去年底發現。而該公司的客戶,包括物聯網攝影機制造商與視訊監控主機(DVR)產品。針對這次CISA與FireEye提出的漏洞修補警告,臺廠物聯智慧在20日提供了更多關於這次事件的細節說明。關於CVE-2021-28372這個漏洞,影響的是SDK 3.1.10之前的所有版本,以及帶有nossl tag的SDK版本,影響裝置包括:未啟用AuthKey進行IOTC連線的韌體裝置、採用AVAPI模組但未啟用DTLS的韌體裝置,以及使用P2PTunnel或RDT模組的韌體裝置。而在CISA正式公告前,該公司也已通知客戶,告知客戶完善的因應做法,並將訊息發布於該公司官方網站。整理⊙iThome資安主編羅正漢


熱門新聞

Advertisement