重大的ThroughTek SDK漏洞，可能让数百万物联网设备被控制

已发现影响多个版本的ThroughTek Kalay P2P 软件开发工具包(SDK) 的安全漏洞，远程攻击者可能会滥用该漏洞来控制受影响的设备并可能导致远程代码执行。

被追踪为 CVE-2021-28372（CVSS 评分：9.6）并由 FireEye Mandiant 于 2020 年末发现，该漏洞涉及 ThroughTek 点对点 (P2P) 产品中的不当访问控制缺陷，成功利用该漏洞可能导致“能够收听实时音频，观看实时视频数据，并根据暴露的设备功能破坏设备凭据以进行进一步攻击。”

美国网络安全和基础设施安全局 (CISA)在一份公告中指出： “成功利用此漏洞可能允许远程执行代码和未经授权访问敏感信息，例如摄像头音频/视频源。”

据信，Kalay 平台上有 8300 万台活动设备。以下版本的 Kalay P2P SDK 受到影响 –

• 3.1.5 及更早版本
• 带有 nossl 标签的 SDK 版本
• 不使用 AuthKey 进行 IOTC 连接的设备固件
• 使用 AVAPI 模块而不启用 DTLS 机制的设备固件
• 使用 P2PTunnel 或 RDT 模块的设备固件

这家台湾公司的 Kalay 平台是一种P2P 技术，允许 IP 摄像机、光摄像机、婴儿监视器和其他支持互联网的视频监控产品以低延迟处理大型音频和视频文件的安全传输。这是通过 SDK（Kalay 协议的实现）实现的，该 SDK 集成到移动和桌面应用程序以及联网的 IoT 设备中。

CVE-2021-28372 存在于设备与其移动应用程序之间的注册过程中，特别是关于它们如何访问和加入 Kalay 网络，使攻击者能够欺骗受害者设备的标识符（称为 UID），从而在网络上恶意注册设备相同的 UID，导致注册服务器覆盖现有设备并将连接错误地路由到流氓设备。

“一旦攻击者恶意注册了 UID，任何试图访问受害者 UID 的客户端连接都将被定向到攻击者，”研究人员说。“然后攻击者可以继续连接过程并获取访问设备所需的身份验证材料（用户名和密码）。利用泄露的凭据，攻击者可以使用 Kalay 网络远程连接到原始设备，访问 AV 数据，并执行 RPC 调用。”

然而，值得指出的是，攻击者需要对 Kalay 协议有“全面的了解”，更不用说通过社会工程或 API 或服务中的其他漏洞获取 Kalay UID，这些漏洞可被利用来发起攻击。

为了减轻任何潜在的漏洞利用，建议将 Kalay 协议升级到 3.1.10 版，并启用 DTLS 和 AuthKey 以保护传输中的数据，并在客户端连接期间添加额外的身份验证层。

这一开发标志着ThroughTek的P2P SDK中第二次披露了类似的漏洞。2021 年 6 月，CISA 发布了一个严重缺陷 ( CVE-2021-32934 )的警报警告，可利用该缺陷通过不正当手段访问摄像头音频和视频源。