鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

ThroughTek P2P SDK信息泄露误差（CVE-2021-32934）

宣布时间 2021-06-16

0x00 误差概述

CVE ID	CVE-2021-32934	时间	2021-06-16
类型	信息泄露	等级	严重
远程使用	是	影响规模
攻击重漂后	低	可用性	无
用户交互	无	所需权限	无
PoC/EXP	已果真	在野使用	否

0x01 误差详情

2021年06月15日，，，，，美国网络清静和基础设施清静局 (CISA)宣布预警，，，，，数以百万计的联网清静和家用摄像头包括一个信息泄露误差（CVE-2021-32934），，，，，其CVSS v3基本评分为9.1。。。。。。

该误差保存于ThroughTek的P2P SDK中。。。。。。由于外地装备和ThroughTek 效劳器之间明文传输数据，，，，，远程攻击者可以通过使用此误差窃取敏感信息。。。。。。并且该组件已被多家清静摄像头的原始装备制造商 (OEM) 以及物联网装备制造商使用，，，，，例如婴儿和宠物监控摄像头，，，，，以及机械人和电池装备。。。。。。

未授权审查这些装备的信息将导致诸多问题：关于要害基础设施运营商和企业而言，，，，，音视频信息会泄露敏感的营业数据、生产或竞争神秘、可用于物理攻击的平面图信息以及员工信息等；；；；；；；而关于家庭用户来说，，，，，将泄露其隐私。。。。。。

影响规模：

3.1.10以下版本

带有nossl标签的SDK版本

不使用AuthKey举行IOTC毗连的装备固件

使用AVAPI�？？？？？？？槎黄粲肈TLS机制的装备固件

使用P2PTunnel或RDT�？？？？？？？榈淖氨腹碳�

0x02 处置惩罚建议

现在此误差已经修复，，，，，ThroughTek建议相关制造商实验以下缓解步伐：

若是 SDK版本 >= 3.1.10 ，，，，，请启用 authkey 和 DTLS。。。。。。

若是 SDK版本< 3.1.10，，，，，请将库升级到 v3.3.1.0 或 v3.4.2.0 并启用 authkey/DTLS。。。。。。

官方链接：

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

通用清静建议

只管镌汰所有控制系统装备或系统的网络袒露情形，，，，，并确保它们不可从互联网会见。。。。。。

将控制系统网络和远程装备置于防火墙之后，，，，，并将其与商业网络隔离。。。。。。

当需要远程会见时使用清静的要领，，，，，如虚拟专用网络（VPN），，，，，并确保VPN是最新版本。。。。。。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsa-21-166-01

https://threatpost.com/millions-connected-cameras-eavesdropping/166950/

https://www.throughtek.com/about-throughteks-kalay-platform-security-mechanism/

0x04 时间线

2021-06-15 CISA宣布清静通告

2021-06-16 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】