物聯智慧Kalay平臺含有重大漏洞，將允許駭客自遠端存取IoT裝置

美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）與資安業者FireEye本周警告，臺灣IoT平臺業者物聯智慧（ThroughTek）所打造的Kalay P2P SDK含有一重大安全漏洞CVE-2021-28372，將允許駭客自遠端執行任意程式或存取機密資訊，而物聯智慧則已修補該漏洞，並呼籲用戶儘快更新。

根據物聯智慧的說明，Kalay為一奠基於P2P技術的基礎架構，具備多種模組化功能，還能根據客戶需求進行客製化，亦能以SDK形式嵌入應用程式或IoT裝置。

FireEye指出，CVE-2021-28372藏匿在Kalay平臺的一個核心元件中，駭客必須非常熟悉Kalay協定，並具備產生及傳送訊息的能力，也必須先取得Kalay的用戶ID（UID）才能發動攻擊，進一步危害相關UID的裝置。CISA則說，成功開採漏洞將允許駭客執行惡意程式或存取機密資訊，包括攝影機的音訊與視訊。其CVSS風險指數高達9.6。

研究人員表示，他們並不確定有多少裝置受到該漏洞的影響，但物聯智慧的官網顯示，全球有超過8,300萬個裝置採用Kalay平臺。

受到波及的Kalay P2P SDK包括3.1.5與之前的版本，擁有nossl標籤的SDK，在IOTC連線時未使用AuthKey的裝置韌體，採用AVAPI模組卻未啟用DTLS機制的韌體，以及採用RDT模組或P2PTunnel的韌體。

迄今尚未發現任何鎖定該漏洞的攻擊程式，物聯智慧建議用戶應立即更新。

此外，在兩個月前，CISA也曾警告該公司SDK含有CVE-2021-32934漏洞，當時物聯智慧說明早已於2018年釋出的SDK 3.1.10修補該漏洞，以及客戶不升級的狀況。

（編按：關於這次事件，FireEye指出，這個漏洞將影響百萬臺物聯網設備，是他們Mandiant的紅隊去年底發現。而該公司的客戶，包括物聯網攝影機制造商與視訊監控主機（DVR）產品。針對這次CISA與FireEye提出的漏洞修補警告，臺廠物聯智慧在20日提供了更多關於這次事件的細節說明。關於CVE-2021-28372這個漏洞，影響的是SDK 3.1.10之前的所有版本，以及帶有nossl tag的SDK版本，影響裝置包括：未啟用AuthKey進行IOTC連線的韌體裝置、採用AVAPI模組但未啟用DTLS的韌體裝置，以及使用P2PTunnel或RDT模組的韌體裝置。而在CISA正式公告前，該公司也已通知客戶，告知客戶完善的因應做法，並將訊息發布於該公司官方網站。整理⊙iThome資安主編羅正漢